tag:blogger.com,1999:blog-56295333534790394182024-03-13T15:22:25.026-07:00ИБ в СПбОб информационной безопасности в Северной столице. Блог Николая Казанцева.Николай Казанцевhttp://www.blogger.com/profile/06360204847185313704noreply@blogger.comBlogger29125tag:blogger.com,1999:blog-5629533353479039418.post-26881245196153705962021-08-18T07:35:00.015-07:002021-08-18T07:39:20.939-07:00Запускаем сервис управления информационной безопасностью<p> </p><div class="separator" style="clear: both; text-align: center;"><a href="https://lh3.googleusercontent.com/-CW_8aVVRe0g/YR0UvmqH_pI/AAAAAAAADr0/up1de947pKMCQpIm5e34-33MYxtQX_fDQCLcBGAsYHQ/image.png" style="margin-left: 1em; margin-right: 1em;"><img alt="" data-original-height="950" data-original-width="1454" height="261" src="https://lh3.googleusercontent.com/-CW_8aVVRe0g/YR0UvmqH_pI/AAAAAAAADr0/up1de947pKMCQpIm5e34-33MYxtQX_fDQCLcBGAsYHQ/w400-h261/image.png" width="400" /></a></div><p></p><p class="MsoNormal" style="line-height: 18.85pt; margin-bottom: 0cm;"><span face=""Segoe UI",sans-serif" style="color: #383838; font-size: 10.5pt; mso-fareast-font-family: "Times New Roman"; mso-fareast-language: RU;">Создавая и поддерживая
системы информационной безопасности на протяжении многих лет я всегда
сталкивался с потребностью в правильной автоматизации процессов.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: 18.85pt; margin-bottom: 0cm;"><span face=""Segoe UI",sans-serif" style="color: #383838; font-size: 10.5pt; mso-fareast-font-family: "Times New Roman"; mso-fareast-language: RU;">В области управления
безопасностью это прежде всего автоматизация управления рисками, защитными мерами
и обеспечение соответствия множеству требований регуляторов и лучших
практик одновременно.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: 18.85pt; margin-bottom: 0cm;"><span face=""Segoe UI", sans-serif" style="color: #383838; font-size: 10.5pt;">Было перепробовано
множество инструментов - от Excel и Access до таск-менеджеров, jira и
специализированных grc-систем. </span><span face=""Segoe UI", sans-serif" style="color: #383838; font-size: 10.5pt;">Все больше углубляясь
в специфику управления рисками я постоянно сталкивался с ограничениями
инструментов. В одних случаях не хватало возможностей, в других не сходился
бюджет. Используя эти инструменты все время было ощущение оторванности от
реальности, понимания, что даже убрав все недочёты я не смогу достигнуть
нужного результата.</span></p>
<p class="MsoNormal" style="line-height: 18.85pt; margin-bottom: 0cm;"><span face=""Segoe UI", sans-serif" style="color: #383838; font-size: 10.5pt;">Не найдя подходящего
решения, я понял, что возможно все и мы должны создать то решение, которое
полностью будет отвечать всем современным тенденциям и требованиям.</span></p>
<p class="MsoNormal" style="line-height: 18.85pt; margin-bottom: 0cm;"><span face=""Segoe UI",sans-serif" style="color: #383838; font-size: 10.5pt; mso-fareast-font-family: "Times New Roman"; mso-fareast-language: RU;">И вот, позвольте Вам
представить: </span></p><p class="MsoNormal" style="line-height: 18.85pt; margin-bottom: 0cm; text-align: center;"><span face=""Segoe UI",sans-serif" style="color: #383838; font-size: 10.5pt; mso-fareast-font-family: "Times New Roman"; mso-fareast-language: RU;"><b><a href="https://service.securitm.ru">Сервис управления информационной безопасностью SECURITM</a></b><o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: 18.85pt; margin-bottom: 0cm;"><span face=""Segoe UI",sans-serif" style="color: #383838; font-size: 10.5pt; mso-fareast-font-family: "Times New Roman"; mso-fareast-language: RU;">Задачи, которые решает
сервис:</span></p><p class="MsoNormal" style="line-height: 18.85pt; margin-bottom: 0cm;"></p><ol style="text-align: left;"><li><span face=""Segoe UI", sans-serif" style="color: #383838; font-size: 10.5pt; text-indent: -18pt;">Формирование информационной модели и ведение реестра активов организации;</span></li><li><span face=""Segoe UI", sans-serif" style="color: #383838; font-size: 10.5pt; text-indent: -18pt;">Управление рисками безопасности на основе угроз и уязвимостей;</span></li><li><span face=""Segoe UI", sans-serif" style="color: #383838; font-size: 10.5pt; text-indent: -18pt;">Контроль и достижение соответствия требованиям регуляторов, стандартов и
лучших практик;</span></li><li><span face=""Segoe UI", sans-serif" style="color: #383838; font-size: 10.5pt; text-indent: -18pt;">Управление защитными мерами на всем их жизненном цикле;</span></li><li><span face=""Segoe UI", sans-serif" style="color: #383838; font-size: 10.5pt; text-indent: -18pt;">Распределение задач и операционных процессов между членами команды.</span></li></ol><p></p>
<p class="MsoNormal" style="line-height: 18.85pt; margin-bottom: 0cm;"><span face=""Segoe UI", sans-serif" style="color: #383838; font-size: 10.5pt;">Работая командой
единомышленников и понимая, что один в поле не воин, мы создали этот сервис как
платформу для обмена опытом и наработками между всеми участниками ИБ
сообщества. Вы можете использовать любые элементы из базы Сommunity у себя в командах или
наоборот, делиться своим наработками с другими участниками сервиса.</span></p>
<p class="MsoNormal" style="line-height: 18.85pt; margin-bottom: 0cm;"><span face=""Segoe UI",sans-serif" style="color: #383838; font-size: 10.5pt; mso-fareast-font-family: "Times New Roman"; mso-fareast-language: RU;">Для того чтобы начать
работу достаточно просто зарегистрироваться в сервисе по бесплатной Community-подписке.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: 18.85pt; margin-bottom: 0cm;"><span face=""Segoe UI",sans-serif" style="color: #383838; font-size: 10.5pt; mso-fareast-font-family: "Times New Roman"; mso-fareast-language: RU;">Присоединяйся к
Community, становись участником проекта, и вместе мы сможем сделать самую
удобную систему управления информационной безопасностью.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: 18.85pt; margin-bottom: 0cm; text-align: center;"><span face=""Segoe UI",sans-serif" style="color: #383838; font-size: 10.5pt; mso-fareast-font-family: "Times New Roman"; mso-fareast-language: RU;"><a href="https://service.securitm.ru"><b>Присоединяйтесь!</b></a><o:p></o:p></span></p><p class="MsoNormal" style="line-height: 18.85pt; margin-bottom: 0cm; text-align: center;"><a href="https://1.bp.blogspot.com/-RAZ80fpPupM/YR0Z24t7MQI/AAAAAAAADsI/-cnKlK6VaEAPEE7fdg3kXi9er8UU2IIOACLcBGAsYHQ/s1409/ZyplIYa91u.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="635" data-original-width="1409" height="180" src="https://1.bp.blogspot.com/-RAZ80fpPupM/YR0Z24t7MQI/AAAAAAAADsI/-cnKlK6VaEAPEE7fdg3kXi9er8UU2IIOACLcBGAsYHQ/w400-h180/ZyplIYa91u.png" width="400" /></a></p><br /><p class="MsoNormal" style="line-height: 18.85pt; margin-bottom: 0cm; text-align: center;"><br /></p>Николай Казанцевhttp://www.blogger.com/profile/06360204847185313704noreply@blogger.com0tag:blogger.com,1999:blog-5629533353479039418.post-27142358708859981842021-07-26T07:01:00.005-07:002023-09-12T06:39:03.181-07:00Автоматизируем бэкап конфигураций Cisco<div style="text-align: left;"><img align="right" border="0" src="https://1.bp.blogspot.com/-7a40fCxi5Hw/YP6-PwAetXI/AAAAAAAADnw/wtbfkepubz8ECHsMhZTCQgEhRWCxCjdcwCLcBGAsYHQ/w200-h150/Belajar-Konfigurasi-Router-Cisco-Jesprorent%255B1%255D.jpg" />Иметь под рукой актуальную и архивные конфигурации сетевого оборудования важно и для ИТ, и для ИБ. Быстрый доступ к конфигурациям позволяет:</div><ul style="text-align: left;"><li>Восстановить оборудование в случае его поломки;</li><li>Обнаружить и откатить нежелательные изменения, сравнив актуальную и архивные версии конфигурации;</li><li>Быстро найти нужный параметр среди сотен устройств;</li><li>Построить процесс контроля безопасности конфигураций.</li></ul><p></p><p>Давайте разберем как можно автоматизировать процесс сбора конфигураций для сетевого оборудования Cisco.</p><span></span><span><a name='more'></a></span><p>Задачу архивирования конфигураций Cisco можно решить несколькими способами: </p><p></p><ol style="text-align: left;"><li>Специализированными продуктами, например Cisco Prime, Efros Config Inspector<br />недостаток: продукты платные, нужно устанавливать дополнительное ПО;</li><li>Штатной функцией архивирования Cisco (описано на хабре <a href="https://habr.com/ru/post/171681/" rel="nofollow">тут </a>и <a href="https://habr.com/ru/post/339844/" rel="nofollow">тут</a>)<br />недостаток: сбой в случае неверной настройки устройства, необходимость поднятия TFTP сервера;</li><li>Скриптом, который обходит оборудование и собирает конфигурации.</li></ol><p>Предлагаю вариант с реализацией через скрипт.</p><p>Скрипт на PowerShell, запускается по расписанию, берет из списка (<i>cisco_ip_list.txt</i>) перечень всех коммутаторов и маршрутизаторов, подключается к ним, собирает все необходимые данные, сохраняет в архив в виде текстовых файлов. Для каждой даты и устройства своя папка, обеспечиваем хранение N архивных версий.</p><p>Скрипт собирает:</p><ul style="text-align: left;"><li>Конфигурацию (show running-config view full)</li><li>Таблицы соединений с другим коммутационным оборудованием (show cdp neighbors detail)<br /><i>Полезно чтобы построить физическую схему сети</i></li><li>Таблицы розданных IP по DHCP (show ip dhcp binding)<br /><i>Полезно чтобы узнать у кого был какой динамический IP в заданный временной период</i></li><li>Таблицы подключенных MAC адресов (show mac address-table)<br /><i>Полезно чтобы найти связь IP / MAC, при условии что включен port-security</i></li></ul><div><p>Исходник скрипта на PowerShell <a href="https://service.securitm.ru/actions/15265207-3252-4be4-958b-fcc3df4235e3#comment_178">можно взять тут</a></p></div><div>Пара рекомендаций по использованию:</div><div><ul style="text-align: left;"><li>Хранить скрипт и результаты его работы в недоступном для <strike>детей</strike> посторонних месте, например на сервере ИБ;</li><li>Для работы скрипта использовать учетную запись с правами только на чтение конфигураций;</li><li>Настроить запуск по планировщику ежедневно или еженедельно;</li><li>Запланировать ежеквартальную задачу по проверке работоспособности скрипта, а также актуальности списка сканируемого оборудования.</li></ul><div>Из недостатков предложенного решения стоит отметить, что пароль для доступа к оборудованию сохранен в тексте скрипта, что, конечно, моветон, но это компенсируется настройкой непривилегированной учетной записи, которая может только читать конфигурацию но не изменять ее.</div></div><div>Скрипт не сложен, практически не дает сбоев и не раз уже выручал ИТ и ИБ в различных нештатных ситуациях и инцидентах безопасности. А еще по результатам его работы удобно вести контроль соответствия конфигураций сетевого оборудования требованиям безопасности, но об этом процессе напишу отдельно.</div><div><br /></div><div>UPD</div><div>Коллеги в FB подсказали еще один инструмент для снятия резервных копий и контроля конфигураций - open source ПО <a href="https://shrubbery.net/rancid" target="_blank">RANCID</a></div><br />Николай Казанцевhttp://www.blogger.com/profile/06360204847185313704noreply@blogger.com0tag:blogger.com,1999:blog-5629533353479039418.post-39438178946280804942021-07-23T05:15:00.000-07:002021-07-23T05:15:34.113-07:00MS OneDrive и приватность пользователей<div style="border: 0px; font-family: -apple-system, BlinkMacSystemFont, "Segoe UI", Roboto, Oxygen, Ubuntu, Cantarell, "Fira Sans", "Droid Sans", "Helvetica Neue", sans-serif; font-size: 14px; line-height: 1.57143em; margin: 0px; padding: 0px;"><div class="separator" style="clear: both; text-align: left;"><a href="https://1.bp.blogspot.com/-Je15I-NPjdA/YPqyUAJlhNI/AAAAAAAADnI/QjXCRWEvAAwB371p1QvDkKoQp3rFOu9WQCLcBGAsYHQ/s768/Microsoft_One_Drive_for_Business59b28862d0753-768x768%255B1%255D.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" data-original-height="768" data-original-width="768" height="200" src="https://1.bp.blogspot.com/-Je15I-NPjdA/YPqyUAJlhNI/AAAAAAAADnI/QjXCRWEvAAwB371p1QvDkKoQp3rFOu9WQCLcBGAsYHQ/w200-h200/Microsoft_One_Drive_for_Business59b28862d0753-768x768%255B1%255D.png" width="200" /></a></div><br />Используя Office 365 и корпоративный OneDrive для работы недавно столкнулись с его странным поведением в отношении личных данных пользователей.</div><div style="border: 0px; font-family: -apple-system, BlinkMacSystemFont, "Segoe UI", Roboto, Oxygen, Ubuntu, Cantarell, "Fira Sans", "Droid Sans", "Helvetica Neue", sans-serif; font-size: 14px; line-height: 1.57143em; margin: 0px; padding: 0px;">Теперь приложение Microsoft OneDrive для Android при входе запрашивает доступ к контактам на телефоне. И если доступ не предоставить - пользоваться приложением невозможно.</div><span><a name='more'></a></span><div style="border: 0px; font-family: -apple-system, BlinkMacSystemFont, "Segoe UI", Roboto, Oxygen, Ubuntu, Cantarell, "Fira Sans", "Droid Sans", "Helvetica Neue", sans-serif; font-size: 14px; line-height: 1.57143em; margin: 0px; padding: 0px;">Казалось бы, зачем файловому хранилищу Microsoft контакты с телефона? Как пояснила тех. поддержка производителя: </div><div style="border: 0px; font-family: -apple-system, BlinkMacSystemFont, "Segoe UI", Roboto, Oxygen, Ubuntu, Cantarell, "Fira Sans", "Droid Sans", "Helvetica Neue", sans-serif; font-size: 14px; line-height: 1.57143em; margin: 0px; padding: 0px;"><blockquote>Отключить данную функцию на Android никак нельзя, так использование хранилища OneDrivе предусматривает то, что вы будете делиться с другими пользователями, а для этого нужен доступ к контактам.</blockquote></div><div style="border: 0px; font-family: -apple-system, BlinkMacSystemFont, "Segoe UI", Roboto, Oxygen, Ubuntu, Cantarell, "Fira Sans", "Droid Sans", "Helvetica Neue", sans-serif; font-size: 14px; line-height: 1.57143em; margin: 0px; padding: 0px;">Для примера стоит отметить что другие файловые облачные хранилища - Яндекс Диск, Google Диск, Dropbox спокойно работают и без доступа к контактам телефона.</div><div style="border: 0px; font-family: -apple-system, BlinkMacSystemFont, "Segoe UI", Roboto, Oxygen, Ubuntu, Cantarell, "Fira Sans", "Droid Sans", "Helvetica Neue", sans-serif; font-size: 14px; line-height: 1.57143em; margin: 0px; padding: 0px;">Да что там, даже Microsoft Outlook for Android не требует для работы доступа к контактам телефона.</div><div style="border: 0px; font-family: -apple-system, BlinkMacSystemFont, "Segoe UI", Roboto, Oxygen, Ubuntu, Cantarell, "Fira Sans", "Droid Sans", "Helvetica Neue", sans-serif; font-size: 14px; line-height: 1.57143em; margin: 0px; padding: 0px;">Ладно бы если данная "фича" распространялась только на корпоративные устройства, но такое же поведение у приложения и на личных устройствах пользователей, вне зависимости от того как устанавливается приложение (напрямую или через Портал организации/MS Intune).</div><div style="border: 0px; font-family: -apple-system, BlinkMacSystemFont, "Segoe UI", Roboto, Oxygen, Ubuntu, Cantarell, "Fira Sans", "Droid Sans", "Helvetica Neue", sans-serif; font-size: 14px; line-height: 1.57143em; margin: 0px; padding: 0px;"></div><div style="border: 0px; font-family: -apple-system, BlinkMacSystemFont, "Segoe UI", Roboto, Oxygen, Ubuntu, Cantarell, "Fira Sans", "Droid Sans", "Helvetica Neue", sans-serif; font-size: 14px; line-height: 1.57143em; margin: 0px; padding: 0px;">А в случае личных устройств (BYOD) на лицо нарушение приватности работника.</div><div style="border: 0px; font-family: -apple-system, BlinkMacSystemFont, "Segoe UI", Roboto, Oxygen, Ubuntu, Cantarell, "Fira Sans", "Droid Sans", "Helvetica Neue", sans-serif; font-size: 14px; line-height: 1.57143em; margin: 0px; padding: 0px;">Самое печальное, на примере разбираемого кейса, что продукт был внедрен как корпоративный стандарт, долгое время работал и только при последних обновлениях решил расширить себе прав, резонно вызвав волну возмущений у пользователей.<br /></div><div style="border: 0px; font-family: -apple-system, BlinkMacSystemFont, "Segoe UI", Roboto, Oxygen, Ubuntu, Cantarell, "Fira Sans", "Droid Sans", "Helvetica Neue", sans-serif; font-size: 14px; line-height: 1.57143em; margin: 0px; padding: 0px;">Хозяйке на заметку, формируя политику BYOD стоит предусмотреть не только вопросы безопасности корпоративных данных, но и возможность нарушения приватности личных данных пользователей со стороны поставщиков услуг.</div>Николай Казанцевhttp://www.blogger.com/profile/06360204847185313704noreply@blogger.com0tag:blogger.com,1999:blog-5629533353479039418.post-26204612913124324122019-04-18T01:06:00.001-07:002019-04-18T01:16:15.427-07:00Аналитика реестра СЗИ ФСТЭК<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="separator" style="clear: both; text-align: center;">
<a href="https://4.bp.blogspot.com/-fzYr2TyqTyo/XLgvPkI3A4I/AAAAAAAABDI/f49rfT6oDIwvRyMg32qtyaozKCAHmBNMACLcBGAs/s1600/reestr_szi_bi2.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img alt="Связь испытательных лабораторий и органов по сертификации" border="0" data-original-height="530" data-original-width="618" height="171" src="https://4.bp.blogspot.com/-fzYr2TyqTyo/XLgvPkI3A4I/AAAAAAAABDI/f49rfT6oDIwvRyMg32qtyaozKCAHmBNMACLcBGAs/s200/reestr_szi_bi2.png" title="Связь испытательных лабораторий и органов по сертификации" width="200" /></a></div>
<div style="text-align: justify;">
В процессе подготовки к выступлению на <a href="https://sankt-peterburg.codeib.ru/" target="_blank">Код ИБ Санкт-Петербург</a> с темой о применении BI технологий в ИБ задался целью развенчать миф о сложности работы с BI. Получилось показать как всего за 2 минуты можно создать дашборд для аналитики. В качестве исходных данных для экспериментов взял понятный и знакомый каждому специалисту по безопасности ресурс - <a href="https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/153-sistema-sertifikatsii/591-gosudarstvennyj-reestr-sertifitsirovannykh-sredstv-zashchity-informatsii-n-ross-ru-0001-01bi00" target="_blank">Реестр сертифицированных средств защиты информации ФСТЭК</a>. Давайте посмотрим, что из этого вышло.</div>
<div style="text-align: justify;">
</div>
<a name='more'></a><br />
<div style="text-align: justify;">
Получился дашборд для аналитики рынка испытательных лабораторий и органов по сертификации на предмет их активности и взаимосвязей. Дашборд отвечает на вопросы:</div>
<ul style="text-align: left;">
<li style="text-align: justify;">Как менялись объемы рынка сертификации за прошедшие годы</li>
<li style="text-align: justify;">Как изменялись объемы работ у конкретных испытательных лабораторий и органов по аттестации. Кто растет, кто падает, а кто стабилен из года в год.</li>
<li style="text-align: justify;">Как связаны испытательные лаборатории с органами по сертификации. Кто старается диверсифицировать контрагентов, а кто завязан на конкретных партнеров.</li>
</ul>
<div style="text-align: justify;">
<span style="text-align: left;">Вот </span><a href="https://app.powerbi.com/view?r=eyJrIjoiNGZiNmFjOTgtNzFkNC00Y2MzLTlkM2QtMzQ4ZDhhMmExMTk4IiwidCI6ImNlMDNiOTJiLTg1N2EtNDJkNS1hZTMzLTMzMGU3ZGY1NDc2YiIsImMiOjl9" style="text-align: left;" target="_blank"><b>ссылка на дашборд</b></a><span style="text-align: left;">, можно все покликать и посмотреть самостоятельно. Обратите внимание на возможность сложной фильтрации с использованием нажатого CTRL и кнопки управления у каждого из элементов.</span></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://4.bp.blogspot.com/-qO8UNp9XXQU/XLgt50tollI/AAAAAAAABC8/O2GllekuPgAh__3Q64bUEba3IMIcu9DuQCLcBGAs/s1600/reestr_szi_bi.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img alt="Дашборд для анализа рынка сертификации средств защиты информации" border="0" data-original-height="869" data-original-width="1600" height="216" src="https://4.bp.blogspot.com/-qO8UNp9XXQU/XLgt50tollI/AAAAAAAABC8/O2GllekuPgAh__3Q64bUEba3IMIcu9DuQCLcBGAs/s400/reestr_szi_bi.png" title="Дашборд для анализа рынка сертификации средств защиты информации" width="400" /></a></div>
<br />
<br />
На создание самого дашборда ушло ровно 2 минуты (в этом была цель эксперимента), еще одна минута видео на то, чтобы покликать по диаграммам.<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<iframe allowfullscreen="" class="YOUTUBE-iframe-video" data-thumbnail-src="https://i.ytimg.com/vi/Apu8TFZoius/0.jpg" frameborder="0" height="266" src="https://www.youtube.com/embed/Apu8TFZoius?feature=player_embedded" width="320"></iframe></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://youtu.be/Apu8TFZoius" style="text-align: left;">https://youtu.be/Apu8TFZoius</a></div>
</div>
Николай Казанцевhttp://www.blogger.com/profile/06360204847185313704noreply@blogger.com1tag:blogger.com,1999:blog-5629533353479039418.post-55720758722279771272018-09-21T13:16:00.000-07:002018-09-21T13:16:42.085-07:008 изменений, предстоящих службам информационной безопасности <div dir="ltr" style="text-align: left;" trbidi="on">
<div class="separator" style="clear: both; text-align: center;">
<a href="https://3.bp.blogspot.com/-9oSt7lZu73E/W6VJFRORyqI/AAAAAAAAA-k/EclFPUBk6fAIkBEpjvTQTol14yj2OwPYQCLcBGAs/s1600/1698b847c2e4fe98c05adcdc9d420590_XL%255B1%255D.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" data-original-height="640" data-original-width="1120" height="113" src="https://3.bp.blogspot.com/-9oSt7lZu73E/W6VJFRORyqI/AAAAAAAAA-k/EclFPUBk6fAIkBEpjvTQTol14yj2OwPYQCLcBGAs/s200/1698b847c2e4fe98c05adcdc9d420590_XL%255B1%255D.jpg" width="200" /></a></div>
<div style="text-align: justify;">
Все течет все меняется. Компании внедряют передовые технологии, уходят от замкнутых систем к открытым, от ориентации на продукт движутся к потребностям клиента и работника. Службам информационной безопасности не стоит оставаться в стороне, прикрываясь устоявшимися нормами и требованиями, следует меняться вслед. Какой Служба ИБ может быть? </div>
<div style="text-align: justify;">
<a name='more'></a><br /></div>
<div style="text-align: justify;">
Далее опишу 8 изменений в службах ИБ, которые навеяны общими трендами развития менеджмента. </div>
<div style="text-align: justify;">
<div class="separator" style="clear: both; text-align: center;">
</div>
<ol><a href="https://2.bp.blogspot.com/-uPL6lQeEBzc/W6VO9rT6eLI/AAAAAAAAA-w/OPiiW1CjEWYCH9bCIxm8ey94QEg1m6ZgwCEwYBhgL/s1600/005-worldwide.png" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" data-original-height="64" data-original-width="64" src="https://2.bp.blogspot.com/-uPL6lQeEBzc/W6VO9rT6eLI/AAAAAAAAA-w/OPiiW1CjEWYCH9bCIxm8ey94QEg1m6ZgwCEwYBhgL/s1600/005-worldwide.png" /></a>
<li>
<b>Глобализм</b><br />Информационная безопасность не сводится к антивирусу или ловле инсайдеров. Она многогранна и выходит за рамки десятка ключевых показателей. Службе ИБ следует воспринимать свою миссию в компании шире, беря максимум с учетом потребностей руководства, реальных обстоятельств и своих возможностей. </li>
<li><b>Технологии<div class="separator" style="clear: both; text-align: center;">
<a href="https://1.bp.blogspot.com/-IVkpcofRam4/W6VPAAHmeaI/AAAAAAAAA_c/gBjbmZmzm2Mbf4dVOCMEiSPVQ1l0HymNgCEwYBhgL/s1600/006-calculator.png" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" data-original-height="64" data-original-width="64" src="https://1.bp.blogspot.com/-IVkpcofRam4/W6VPAAHmeaI/AAAAAAAAA_c/gBjbmZmzm2Mbf4dVOCMEiSPVQ1l0HymNgCEwYBhgL/s1600/006-calculator.png" /></a></div>
</b>Технологии не стоят на месте. И если защитная мера была внедрена и работала год назад, то сегодня ее пора уже если не отменить, то хотя бы усовершенствовать. В столь быстро технологически развивающейся области мы просто не в праве полагаться на инструменты вчерашнего дня.</li>
<li><b>Скорость<div class="separator" style="clear: both; text-align: center;">
<a href="https://2.bp.blogspot.com/-6ZsfF6xckpE/W6VO_U4Fn1I/AAAAAAAAA_U/0IztAKJKa5wjqjddYKt_cPpE9wWCnNrAwCEwYBhgL/s1600/002-stopwatch.png" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" data-original-height="64" data-original-width="64" src="https://2.bp.blogspot.com/-6ZsfF6xckpE/W6VO_U4Fn1I/AAAAAAAAA_U/0IztAKJKa5wjqjddYKt_cPpE9wWCnNrAwCEwYBhgL/s1600/002-stopwatch.png" /></a></div>
</b>Все становится быстрее: больше данных, больше угроз, больше изменений. Означает ли это что служба ИБ должна становиться быстрее? Однозначно, но не за счет наращивания штата или сужения области своих интересов, а за счет оптимизации и ускорения процессов и инструментов, исключения всего вторичного. </li>
<li><b>Кастомизация <div class="separator" style="clear: both; text-align: center;">
<a href="https://3.bp.blogspot.com/-oFTp-GwI0x0/W6VO_SeodhI/AAAAAAAAA_k/n00WW2_7KTUhQK-wUPj6mPdY9D18WetKwCEwYBhgL/s1600/001-repair.png" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" data-original-height="64" data-original-width="64" src="https://3.bp.blogspot.com/-oFTp-GwI0x0/W6VO_SeodhI/AAAAAAAAA_k/n00WW2_7KTUhQK-wUPj6mPdY9D18WetKwCEwYBhgL/s1600/001-repair.png" /></a></div>
</b>Чем больше организация, тем больше различий между ее дивизионами, филиалами и даже отделами. Службе ИБ следует находить подход ко всем структурам компании, учитывая их информационные, технологические и даже культурные особенности. Не следует всех пользователей подгонять под один стандарт, просто потому что от этого страдает и эффективность защитных мер эффективность самих пользователей. </li>
<li><b>Интеллектуальный капитал<div class="separator" style="clear: both; text-align: center;">
<a href="https://2.bp.blogspot.com/-mIR_1p11ck4/W6VPAQwdcsI/AAAAAAAAA_o/o8HCHYqtdEs-zUr34qxqlxfcgtKGJa05gCEwYBhgL/s1600/008-heads.png" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" data-original-height="64" data-original-width="64" src="https://2.bp.blogspot.com/-mIR_1p11ck4/W6VPAQwdcsI/AAAAAAAAA_o/o8HCHYqtdEs-zUr34qxqlxfcgtKGJa05gCEwYBhgL/s1600/008-heads.png" /></a></div>
</b>Кадры решают все, и в службе ИБ от квалифицированных кадров зависит успех во многом. Но есть и нечто более ценное и неуловимое, чем квалификации отдельных работников - совокупный интеллектуальный капитал всей службы ИБ, состоящий не из отдельных элементов, а из их объединения, дополнения и противопоставления. Создающийся не столько регламентами, сколько совместным развитием и созданием нового. </li>
<li><b>Динамичность организационной структуры<div class="separator" style="clear: both; text-align: center;">
<a href="https://2.bp.blogspot.com/-korMgdz7XEY/W6VPAtpZ8OI/AAAAAAAAA_k/brX3O9tsXAM83vFYV2ETiXOnohTl37n0gCEwYBhgL/s1600/009-organization.png" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" data-original-height="64" data-original-width="64" src="https://2.bp.blogspot.com/-korMgdz7XEY/W6VPAtpZ8OI/AAAAAAAAA_k/brX3O9tsXAM83vFYV2ETiXOnohTl37n0gCEwYBhgL/s1600/009-organization.png" /></a></div>
</b>Уже недостаточно просто выстраивать и регламентировать процессы, распределив их между сотрудниками различных служб. Среда меняется быстро, за ней меняются процессы ИБ, меняются и сами сотрудники. А значит должны меняться и перераспределяться роли, при этом каждый сотрудник может исполнять множество ролей в разное время. </li>
<li><b>Связи с заинтересованными сторонами<div class="separator" style="clear: both; text-align: center;">
<a href="https://3.bp.blogspot.com/-cCxo4zzJMnQ/W6VO_-qgrRI/AAAAAAAAA_Y/WHFu6Un4XqAo7IE09e8MOB1nz4hjMuqcwCEwYBhgL/s1600/004-network.png" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" data-original-height="64" data-original-width="64" src="https://3.bp.blogspot.com/-cCxo4zzJMnQ/W6VO_-qgrRI/AAAAAAAAA_Y/WHFu6Un4XqAo7IE09e8MOB1nz4hjMuqcwCEwYBhgL/s1600/004-network.png" /></a></div>
</b>Недостаточно просто исполнять требования, будь то требования регуляторов или руководства компании. Необходимо постоянно осуществлять взаимодействие со всеми сторонами, заинтересованными в развитии как информационной безопасности, так и компании в целом. За счет обратной связи и включения в процессы ИБ ключевых лиц компании следует поднимать эффективность службы ИБ. </li>
<li><b>Разделяемые ценности<div class="separator" style="clear: both; text-align: center;">
<a href="https://2.bp.blogspot.com/-dHgsuEzmjeg/W6VO_UixmbI/AAAAAAAAA_o/BHtkjoRzEWsikuI-jJvpFkzQ1fzI9Gq4gCEwYBhgL/s1600/003-target.png" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" data-original-height="64" data-original-width="64" src="https://2.bp.blogspot.com/-dHgsuEzmjeg/W6VO_UixmbI/AAAAAAAAA_o/BHtkjoRzEWsikuI-jJvpFkzQ1fzI9Gq4gCEwYBhgL/s1600/003-target.png" /></a></div>
</b>Работник компании — это не противник службы ИБ и не мешающая обеспечению безопасности составляющая системы. Работник это ключевая составляющая компании, ее ценности, а значит и ключевая составляющая обеспечения информационной безопасности. За счет создания общекорпоративной культуры ИБ, разделяемой всеми работниками, за счет привлечения всех работников к процессам ИБ можно обеспечить службе ИБ и ее целям существенную поддержку.</li>
</ol>
<div>
Все течет все меняется. И отставать значит проигрывать.</div>
</div>
</div>
Николай Казанцевhttp://www.blogger.com/profile/06360204847185313704noreply@blogger.com0tag:blogger.com,1999:blog-5629533353479039418.post-54664273848334462522018-09-14T02:33:00.002-07:002018-09-14T02:33:46.701-07:00КонсультантПлюс как источник угроз для инфраструктуры<div dir="ltr" style="text-align: left;" trbidi="on">
<a href="https://3.bp.blogspot.com/-RVMdmGWv5b8/W5t7gN0CiiI/AAAAAAAAA-Q/8pHoCML50eI1cqb2ZIdyS0gsTeIYMwNFACLcBGAs/s1600/667cca34d9f752c83efbae14d4670df7%255B1%255D.png" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="200" src="https://3.bp.blogspot.com/-RVMdmGWv5b8/W5t7gN0CiiI/AAAAAAAAA-Q/8pHoCML50eI1cqb2ZIdyS0gsTeIYMwNFACLcBGAs/s200/667cca34d9f752c83efbae14d4670df7%255B1%255D.png" width="200" /></a><br />
<div style="text-align: justify;">
Пожалуй, в любой средней/крупной компании пользуются информационно-правовыми системами, наиболее популярные из которых: Консультант, Гарант, Кодекс. У служб информационной безопасности такие приложения часто не вызывают опасений и интереса, но стоит лишь приглядеться ... Рассмотрим особенности одной из систем, с точки зрения возможных угроз для ИТ-инфраструктуры компании - КонсультантПлюс.</div>
<div style="text-align: justify;">
<a name='more'></a></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
У ПО есть web версия и приложение. В корпоративных инфраструктурах приложение устанавливается на сервере и пользователи обращаются к нему по SMB (шаре). Особенности функционирования ПО требуют чтобы у пользователей был доступ на запись в часть каталогов ПО на сервере. <strike>Всегда </strike>Часто разработчики и администраторы не углубляясь в вопросы безопасности дают пользователям доступ на запись к всему серверному каталогу КонсультантПлюс. А ведь в этом же каталоге находятся и исполняемые файлы программы (CONS.EXE).</div>
<div style="text-align: justify;">
Таким образом любой пользователь, которому предоставлен доступ к ПО (часто это все пользователи компании), а так же злоумышленник, получивший учетную запись рядового пользователя, имеют возможность заменить исполняемые файлы ПО на свои. После чего все пользователи, запускающие на своих компьютерах КонсультантПлюс будут запускать уже совсем другое приложение.</div>
<div style="text-align: justify;">
Учитывая что критичные подразделения, такие как бухгалтерия, пользуются этим ПО гарантированно часто, угроза для компрометации всей инфраструктуры становится весьма ощутимой.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Заметку написал потому что подобную <i>особенность </i>установки КонсультантПлюс встречал уже в нескольких компаниях. На запрос к разработчикам был получен ответ, что необходимость в правах на запись в серверные каталоги ПО для всех пользователей является архитектурной и не может быть отключена.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Что же делать?</div>
<div style="text-align: justify;">
1. Если в вашей инфраструктуре установлен КонсультантПлюс следует детально настроить права доступа, исключив возможность изменения исполняемых файлов, расположенных в этих каталогах: корневой каталог (CONS.EXE), ADM\admin, \HTTPClient.</div>
<div style="text-align: justify;">
2. Не стоит полагаться на разработчиков/внедренцев и следует чаще проводить аудит безопасности всех корпоративных приложений, а не только критичных.</div>
</div>
Николай Казанцевhttp://www.blogger.com/profile/06360204847185313704noreply@blogger.com0tag:blogger.com,1999:blog-5629533353479039418.post-25174634257592069202018-08-31T09:00:00.000-07:002018-08-31T09:53:48.120-07:00Автоматизация проверки корпоративной почты на компрометацию<div dir="ltr" style="text-align: left;" trbidi="on">
<a href="http://3.bp.blogspot.com/-g3oNl8nsz0Y/W4lZqr-FPGI/AAAAAAAAA5w/Cp5tjH0QW9MlaeGzMe8Tw2KdK3I5hi7MwCK4BGAYYCw/s1600/HIBP.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="206" src="https://3.bp.blogspot.com/-g3oNl8nsz0Y/W4lZqr-FPGI/AAAAAAAAA5w/Cp5tjH0QW9MlaeGzMe8Tw2KdK3I5hi7MwCK4BGAYYCw/s320/HIBP.png" width="320" /></a><br />
<div style="text-align: justify;">
Утечки аккаунтов из интернет-сервисов событие не редкое, только и успевай следить за новостями. И можно сколь угодно серьезно выстраивать защиту на уровне корпоративных почтовых серверов, но от компрометации электронной почты в результате взломов и утечек сторонних сервисов мы беззащитны. Остается только держать руку на пульсе и реагировать на ставшие публично известными утечки.</div>
<div style="text-align: justify;">
<a name='more'></a><br /></div>
<div style="text-align: justify;">
Для проверки адресов электронной почты на компрометацию существует бесплатный сервис - <a href="https://haveibeenpwned.com/" target="_blank">haveibeenpwned.com</a> . Если еще не сделали это - обязательно проверьте через него свои адреса электронной почты. Сервис прост и подходит для проверки одного или нескольких адресов. Но почему бы не автоматизировать процесс и не проверять на регулярной основе все корпоративные адреса компании? Для haveibeenpwned создано множество <a href="https://haveibeenpwned.com/API/Consumers" target="_blank">скриптов и плагинов</a>, но не найдя подходящего сделал свой. Возможно, он будет полезен и вам.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: left;">
Итак, задача:</div>
<div style="text-align: left;">
1. Проверить все корпоративные адреса электронной почты на компрометацию.</div>
<div style="text-align: left;">
2. Проводить проверки регулярно и получать уведомления в случае <b>новых </b>инцидентов.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Реализация: Скрипт на PowerShell. Запускается по планировщику регулярно, на вход берет файл со списком корпоративных почтовых адресов, на выходе формирует отчет об их компрометации и, если обнаружены новые инциденты, уведомляет по почте (новыми считаются данные, которых не было на момент предыдущей проверки).</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
В командной строке это выглядит так:</div>
<div style="text-align: center;">
<a href="http://1.bp.blogspot.com/-nLMH5b0MPqY/W4lVwcXoBZI/AAAAAAAAA5Y/AAdHx0_ZUdMKzHJuRp0_sADReALy5an5ACK4BGAYYCw/s1600/HIBP%2B1.png" imageanchor="1"><img border="0" src="https://1.bp.blogspot.com/-nLMH5b0MPqY/W4lVwcXoBZI/AAAAAAAAA5Y/AAdHx0_ZUdMKzHJuRp0_sADReALy5an5ACK4BGAYYCw/s1600/HIBP%2B1.png" /></a></div>
<div>
<br /></div>
<div>
Уведомление на почту, с подробной информацией об инцидентах в вложении (что, от кого и когда утекло):</div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="http://1.bp.blogspot.com/-YMpSQKEg91g/W4lXHHyttAI/AAAAAAAAA5k/GGa_iFKCz7EpPBkKDEL74hvx3DNlTrHRwCK4BGAYYCw/s1600/HIBP2.png" imageanchor="1" style="display: inline !important; margin-left: 1em; margin-right: 1em; text-align: right;"><img border="0" height="245" src="https://1.bp.blogspot.com/-YMpSQKEg91g/W4lXHHyttAI/AAAAAAAAA5k/GGa_iFKCz7EpPBkKDEL74hvx3DNlTrHRwCK4BGAYYCw/s400/HIBP2.png" width="400" /></a></div>
<div>
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: right;">
<br /></div>
<div style="text-align: justify;">
Стоит учитывать, что факт обнаружения почтового адреса в очередной утекшей базе не говорит однозначно о компрометации пароля и доступа. Возможно, в базе всего лишь адрес без пароля, кочующий от одной спам-рассылки к другой. Но и при таких допущениях лучше иметь актуальную информацию под рукой.</div>
<div style="text-align: justify;">
Скрипт можно скачать <a href="https://yadi.sk/d/O0pQnT5z3ajwz3" target="_blank">тут</a>.</div>
<div style="text-align: left;">
</div>
</div>
Николай Казанцевhttp://www.blogger.com/profile/06360204847185313704noreply@blogger.com0tag:blogger.com,1999:blog-5629533353479039418.post-11554873495513721752017-05-15T13:57:00.000-07:002017-05-15T13:57:10.451-07:00Набор скриптов для защиты компьютеров от WannaCry<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
<div class="separator" style="clear: both; text-align: center;">
<a href="https://1.bp.blogspot.com/-2nIlKhFXok8/WRoSGHPUMeI/AAAAAAAAA2k/RQ5LD25c3oIboaxDS_tEJk8saS_7RYX8gCLcB/s1600/wannacrydefender.jpg" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" height="214" src="https://1.bp.blogspot.com/-2nIlKhFXok8/WRoSGHPUMeI/AAAAAAAAA2k/RQ5LD25c3oIboaxDS_tEJk8saS_7RYX8gCLcB/s320/wannacrydefender.jpg" width="320" /></a></div>
Шифровальщик WannaCry решительно внес корректировки в <strike>выходные дни</strike> планы работ ИТ и ИБ специалистов по всему миру. Ключевым вопросом после "что происходит" стал "как защититься от шифровальщика WannaCry". Об этом много написано, но остается вопрос - как защитить инфраструктуру компании и личные компьютеры пользователей от WannaCry быстро и эффективно. В моем понимании это означает автоматизировано. Далее опишу созданный для этих целей набор скриптов WannaCryDefender.</div>
<div style="text-align: justify;">
<br />
<a name='more'></a><br /></div>
<div style="text-align: justify;">
Если убрать шелуху то защита узла от WannaCry сводится к 2 базовым задачам:</div>
<div style="text-align: justify;">
</div>
<ol>
<li>Установка <a href="https://technet.microsoft.com/en-us/library/security/ms17-010.aspx" target="_blank">обновлений </a>или <a href="http://www.catalog.update.microsoft.com/search.aspx?q=4012598" target="_blank">экстренных патчей</a> Microsoft<br />И / ИЛИ</li>
<li>Отключение протокола SMB 1</li>
</ol>
<span style="text-align: justify;">Если в инфраструктуре нет XP/2003 то достаточно на всех узлах отключить SMB 1. Но далее буду рассматривать сложный вариант инфраструктуры, с зоопарком операционных систем и отсутствием надежных систем централизованного контроля узлов.</span><br />
<div style="text-align: justify;">
Получается такой набор задач:</div>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://2.bp.blogspot.com/-nADH4SaQ83Q/WRnsfpQ8PPI/AAAAAAAAA2Y/RaixihFHYq4-jlwlxDU41uXMktbPiuZhgCLcB/s1600/OSControls.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="145" src="https://2.bp.blogspot.com/-nADH4SaQ83Q/WRnsfpQ8PPI/AAAAAAAAA2Y/RaixihFHYq4-jlwlxDU41uXMktbPiuZhgCLcB/s400/OSControls.png" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Что нужно сделать для защиты от WannaCry</td></tr>
</tbody></table>
<div style="text-align: justify;">
При установке патчей следует учитывать, что для каждой ОС патч свой. Кроме того, патчи для x86 и x64 версий различаются. </div>
<div style="text-align: justify;">
<br /></div>
<h2 style="text-align: justify;">
Алгоритм защиты</h2>
<div style="text-align: justify;">
Исходя из описанной задачи алгоритм выглядит следующим образом:</div>
<div style="text-align: justify;">
</div>
<ol>
<li>Определить версию ОС</li>
<li>Определить разрядность ОС</li>
<li>В зависимости от версии и разрядности ОС выбрать патч</li>
<li>Проверить, установлен ли этот патч в ОС</li>
<li>Если патч не установлен - установить.</li>
<li>В зависимости от версии ОС отключить (или не отключать) SMB 1 тем или иным образом.</li>
<li>Сохранить результаты работы программы</li>
<li>Сохранить результаты установки патча в ОС (eventlog)</li>
</ol>
<br />
<div style="text-align: justify;">
<h2>
Реализация</h2>
Получившийся набор скриптов состоит из:<br />
<br />
<ol>
<li><i>WannaCryDefender.bat</i> - скрипт для запуска в корпоративном домене</li>
<li><i>WannaCryDefenderLocal.bat</i> - скрипт для запуска на автономных персональных компьютерах</li>
<li><i>RunWannaCryDefender.ps1</i> - дополнительный скрипт для принудительного запуска на всех/части компьютерах домена</li>
<li><i>EnableSMB1.bat</i> - дополнительный скрипт для включения SMB 1, на случай проблем с принтерами и сетевыми папками</li>
<li><i>Distr</i> - каталог с патчами MS</li>
<li><i>Logs</i> - каталог с логами работы скрипта и Eventlog событий установки патчей</li>
</ol>
<br />
<h2>
Запуск в доменной инфраструктуре</h2>
Скрипты, патчи и логи размещаются в доступной всем компьютерам сетевой папке. Права для папки <i>Logs</i> на запись а остальное на чтение.<br />
<br />
Через GPO настраивается запуск скрипта из сетевой папки на всех компьютерах при их включении.<br />
<br />
Для срочного запуска скрипта на всех или части компьютеров используется RunWannaCryDefender.ps1, который берет все компьютеры из нужного юнита AD и запускает на них WannaCryDefender.bat через psexec.<br />
<br />
Работу с серверными ОС рекомендую проводить хоть и с использованием скрипта в полу-ручном режиме, с постоянным тестированием работоспособности. Патчи MS от WannaCry, как показала практика, могут приводить к выходу серверных компонент из строя.<br />
<br />
После первого запуска скрипта в домене в папке <i>Logs</i> появляются записи по каждому компьютеру об успешном отключении SMB 1 и файлы eventlog событий установки патчей. При повторном запуске скрипта в логах появляется информация о уже установленных на компьютере патчах.<br />
Если остается ощущение что где то остались непропатченые компьютеры то можно еще пройтись <a href="https://github.com/R-Vision/ms17-010" target="_blank">скриптом - сканером</a> от RVision.<br />
<br />
<h2>
Запуск на автономных компьютерах</h2>
Под автономными компьютерами в данном контексте следует понимать не только корпоративные узлы, не входящие в доменную инфраструктуру, но и личные компьютеры ваших сотрудников, клиентов, родителей и знакомых. Ведь защита от WannaCry нужна всем.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Из набора нужен только скрипт <i style="text-align: justify;">WannaCryDefenderLocal.bat </i><span style="text-align: justify;">и папка с дистрибутивами. Различия в скрипте от корпоративного только в том, что он сохраняет логи не на сетевую папку, а в свою корневую.</span></div>
<div style="text-align: justify;">
<span style="text-align: justify;">Для запуска на Win 10 папка с дистрибутивами не нужна вовсе, т.к. в данной реализации скрипт на Win 10 только отключает SMB 1.</span></div>
<div style="text-align: justify;">
<span style="text-align: justify;"><br /></span></div>
<div style="text-align: justify;">
Для облегчения использования скрипта пользователями сделана максимально простая инструкция: <span style="text-align: left;"><a href="https://yadi.sk/d/EuRiNNy63JBicE" target="_blank">Инструкция по защите компьютера от атак вируса шифровальщика WannaCry</a></span></div>
<div style="text-align: justify;">
В конечном счете пользователю отправляется только ссылка на инструкцию, из которой уже он получает ссылку на скрипт.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Если речь идет о внешних компьютерах, подключающихся к корпоративной сети по VPN, то перед подключением пользователи предоставляют результаты работы скрипта (log файлы) как подтверждение защищенности своего компьютера от WannaCry.</div>
<div style="text-align: justify;">
<br /></div>
<h3 style="text-align: left;">
Оригинальные патчи MS</h3>
<div style="text-align: justify;">
Если ваша паранойя находится на правильном уровне то вы не будете использовать патчи, которые я разместил в комплекте с скриптами, а скачаете их с сайта MS. Сам бы так сделал. Вот <a href="http://pikabu.ru/story/ssyilki_na_obnovleniya_microsoft_ms17010_ot_uyazvimostey_yekspluatiruemyikh_wana_decrypt0r_5046074" target="_blank">тут</a> есть подборка прямых ссылок. Обращаю внимание что патчи нужно переименовать по шаблону для правильной работы скрипта.</div>
<div style="text-align: justify;">
<br /></div>
<h2 style="text-align: justify;">
Скачать</h2>
<div style="text-align: justify;">
<a href="https://yadi.sk/d/EMpUYy5P3JBi6u" target="_blank">Версия для доменной инфраструктуры</a> (194 мб)</div>
<div style="text-align: justify;">
<a href="https://yadi.sk/d/b7-ao45Y3JBhg8" target="_blank">Версия для личных компьютеров пользователей</a> (120 мб)</div>
<div style="text-align: justify;">
<a href="https://yadi.sk/d/jvhBgqIc3JBirv" target="_blank">Версия без патчей</a> (1 мб)</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Буду рад если этот набор скриптов окажется полезен и убережет вас, ваши инфраструктуры и близких от технических потерь и плохого настроения.</div>
</div>
Николай Казанцевhttp://www.blogger.com/profile/06360204847185313704noreply@blogger.com0tag:blogger.com,1999:blog-5629533353479039418.post-63162444263289554332017-03-13T01:24:00.000-07:002017-03-13T01:30:10.449-07:00Тренды в информационной безопасности<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
<div class="separator" style="clear: both; text-align: left;">
<a href="https://2.bp.blogspot.com/-8pDvILKmsrg/WMZV5k6t0qI/AAAAAAAAA1s/FrmsCAyFpHQtO_Lk-p_vLaCtouGdm6mbACLcB/s1600/trends.jpg" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img alt="Тренды в информационной безопасности" border="0" height="143" src="https://2.bp.blogspot.com/-8pDvILKmsrg/WMZV5k6t0qI/AAAAAAAAA1s/FrmsCAyFpHQtO_Lk-p_vLaCtouGdm6mbACLcB/s200/trends.jpg" title="" width="200" /></a></div>
Проведя оцифровку огромных массивов литературы начиная с 16 века Google попутно создал сервис NGram, позволяющий заняться аналитикой полученных больших данных. Далее опишу какие выводы, связанные с областью информационной безопасности, можно сделать на основе того, что привлекало и привлекает авторов и пользователей сети.</div>
<div style="text-align: justify;">
</div>
<a name='more'></a><div style="text-align: left;">
<br /></div>
<h2 style="text-align: left;">
Защита информации или информационная безопасность ?</h2>
<div style="text-align: justify;">
Иногда появляется вопрос, как понятнее объяснить, чем ты занимаешься - защитой информации или обеспечением информационной безопасности.</div>
<div style="text-align: justify;">
Понятие "защита информации", появившееся с 1960-x годов, с 1997 года сдало позиции понятию "информационная безопасность" и отстает уже более чем в 2 раза. Из чего можно сделать предположение, что оперировать понятием информационной безопасности в настоящее время актуальней и понятней для окружающих. Смысловые различия в расчет не берем, для тех, кто не занимается данной областью профессионально эти понятия тождественны.
</div>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://3.bp.blogspot.com/-5D0DLoGlNRI/WMKcH5h0RLI/AAAAAAAAA0c/WCWQy0OUEeMhZbxwUJVaqc7w1XU4KssEgCLcB/s1600/informsecurity1.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img alt="Защита информации или информационная безопасность" border="0" height="131" src="https://3.bp.blogspot.com/-5D0DLoGlNRI/WMKcH5h0RLI/AAAAAAAAA0c/WCWQy0OUEeMhZbxwUJVaqc7w1XU4KssEgCLcB/s400/informsecurity1.png" title="" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Защита информации vs Информационная безопасность, <a href="https://books.google.com/ngrams/graph?content=%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D0%B0+%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%B8%2C%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%B0%D1%8F+%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C&case_insensitive=on&year_start=1990&year_end=2008&corpus=25&smoothing=3&share=&direct_url=t4%3B%2C%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D0%B0%20%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%B8%3B%2Cc0%3B%2Cs0%3B%3B%D0%97%D0%B0%D1%89%D0%B8%D1%82%D0%B0%20%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%B8%3B%2Cc0%3B%3B%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D0%B0%20%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%B8%3B%2Cc0%3B%3B%D0%97%D0%90%D0%A9%D0%98%D0%A2%D0%90%20%D0%98%D0%9D%D0%A4%D0%9E%D0%A0%D0%9C%D0%90%D0%A6%D0%98%D0%98%3B%2Cc0%3B.t4%3B%2C%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%B0%D1%8F%20%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C%3B%2Cc0%3B%2Cs0%3B%3B%D0%98%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%B0%D1%8F%20%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C%3B%2Cc0%3B%3B%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%B0%D1%8F%20%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C%3B%2Cc0%3B%3B%D0%98%D0%9D%D0%A4%D0%9E%D0%A0%D0%9C%D0%90%D0%A6%D0%98%D0%9E%D0%9D%D0%9D%D0%90%D0%AF%20%D0%91%D0%95%D0%97%D0%9E%D0%9F%D0%90%D0%A1%D0%9D%D0%9E%D0%A1%D0%A2%D0%AC%3B%2Cc0" target="_blank">ссылка на источник</a></td></tr>
</tbody></table>
<h2 style="text-align: left;">
Тайны и их популярность</h2>
<div>
Если считать количество упоминаний о тех или иных видах тайн в литературе за показатель их популярности, то становятся видны несколько интересных тенденций:</div>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://1.bp.blogspot.com/-weafKY51Fqs/WMKu8fdul8I/AAAAAAAAA0s/me1CoHqqV9UJUHjYTmh3v7q9_bwWF_ZEQCLcB/s1600/secrets.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="131" src="https://1.bp.blogspot.com/-weafKY51Fqs/WMKu8fdul8I/AAAAAAAAA0s/me1CoHqqV9UJUHjYTmh3v7q9_bwWF_ZEQCLcB/s400/secrets.png" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Популярность тайн, <a href="https://books.google.com/ngrams/graph?content=%D0%B3%D0%BE%D1%81%D1%83%D0%B4%D0%B0%D1%80%D1%81%D1%82%D0%B2%D0%B5%D0%BD%D0%BD%D0%B0%D1%8F+%D1%82%D0%B0%D0%B9%D0%BD%D0%B0%2C+%D0%BA%D0%BE%D0%BD%D1%84%D0%B8%D0%B4%D0%B5%D0%BD%D1%86%D0%B8%D0%B0%D0%BB%D1%8C%D0%BD%D0%B0%D1%8F+%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D1%8F%2C%D0%BF%D0%B5%D1%80%D1%81%D0%BE%D0%BD%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5+%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D0%B5%2C+%D0%BA%D0%BE%D0%BC%D0%BC%D0%B5%D1%80%D1%87%D0%B5%D1%81%D0%BA%D0%B0%D1%8F+%D1%82%D0%B0%D0%B9%D0%BD%D0%B0&case_insensitive=on&year_start=1985&year_end=2008&corpus=25&smoothing=3&share=&direct_url=" target="_blank">ссылка на источник</a></td></tr>
</tbody></table>
<div>
<ol style="text-align: left;">
<li style="text-align: justify;">Персональные данные, в наше время, безраздельно правят бал;</li>
<li style="text-align: justify;">Интерес к коммерческой тайне, появившийся после смены государственного строя, начиная с 2000 года стабильно идет на убыль;</li>
<li style="text-align: justify;">А вот у понятия конфиденциальная информация, не смотря на отсутствие законодательной регламентации, явный рост.</li>
<li style="text-align: justify;">Понятия служебной, врачебной, профессиональной тайн на порядок менее популярны и показывают стабильный, но медленный рост (<a href="https://books.google.com/ngrams/graph?content=%D1%81%D0%BB%D1%83%D0%B6%D0%B5%D0%B1%D0%BD%D0%B0%D1%8F+%D1%82%D0%B0%D0%B9%D0%BD%D0%B0%2C+%D0%B2%D1%80%D0%B0%D1%87%D0%B5%D0%B1%D0%BD%D0%B0%D1%8F+%D1%82%D0%B0%D0%B9%D0%BD%D0%B0%2C+%D0%BF%D1%80%D0%BE%D1%84%D0%B5%D1%81%D1%81%D0%B8%D0%BE%D0%BD%D0%B0%D0%BB%D1%8C%D0%BD%D0%B0%D1%8F+%D1%82%D0%B0%D0%B9%D0%BD%D0%B0%2C&case_insensitive=on&year_start=1985&year_end=2008&corpus=25&smoothing=3&share=&direct_url=t4%3B%2C%D1%81%D0%BB%D1%83%D0%B6%D0%B5%D0%B1%D0%BD%D0%B0%D1%8F%20%D1%82%D0%B0%D0%B9%D0%BD%D0%B0%3B%2Cc0%3B%2Cs0%3B%3B%D1%81%D0%BB%D1%83%D0%B6%D0%B5%D0%B1%D0%BD%D0%B0%D1%8F%20%D1%82%D0%B0%D0%B9%D0%BD%D0%B0%3B%2Cc0%3B%3B%D0%A1%D0%BB%D1%83%D0%B6%D0%B5%D0%B1%D0%BD%D0%B0%D1%8F%20%D1%82%D0%B0%D0%B9%D0%BD%D0%B0%3B%2Cc0%3B.t4%3B%2C%D0%B2%D1%80%D0%B0%D1%87%D0%B5%D0%B1%D0%BD%D0%B0%D1%8F%20%D1%82%D0%B0%D0%B9%D0%BD%D0%B0%3B%2Cc0%3B%2Cs0%3B%3B%D0%B2%D1%80%D0%B0%D1%87%D0%B5%D0%B1%D0%BD%D0%B0%D1%8F%20%D1%82%D0%B0%D0%B9%D0%BD%D0%B0%3B%2Cc0%3B%3B%D0%92%D1%80%D0%B0%D1%87%D0%B5%D0%B1%D0%BD%D0%B0%D1%8F%20%D1%82%D0%B0%D0%B9%D0%BD%D0%B0%3B%2Cc0%3B%3B%D0%92%D0%A0%D0%90%D0%A7%D0%95%D0%91%D0%9D%D0%90%D0%AF%20%D0%A2%D0%90%D0%99%D0%9D%D0%90%3B%2Cc0%3B.t4%3B%2C%D0%BF%D1%80%D0%BE%D1%84%D0%B5%D1%81%D1%81%D0%B8%D0%BE%D0%BD%D0%B0%D0%BB%D1%8C%D0%BD%D0%B0%D1%8F%20%D1%82%D0%B0%D0%B9%D0%BD%D0%B0%3B%2Cc0%3B%2Cs0%3B%3B%D0%BF%D1%80%D0%BE%D1%84%D0%B5%D1%81%D1%81%D0%B8%D0%BE%D0%BD%D0%B0%D0%BB%D1%8C%D0%BD%D0%B0%D1%8F%20%D1%82%D0%B0%D0%B9%D0%BD%D0%B0%3B%2Cc0%3B%3B%D0%9F%D1%80%D0%BE%D1%84%D0%B5%D1%81%D1%81%D0%B8%D0%BE%D0%BD%D0%B0%D0%BB%D1%8C%D0%BD%D0%B0%D1%8F%20%D1%82%D0%B0%D0%B9%D0%BD%D0%B0%3B%2Cc0" target="_blank">ссылка</a>). </li>
</ol>
<h2 style="text-align: left;">
CIA triad</h2>
</div>
<div>
<div>
<div style="text-align: justify;">
Понятия конфиденциальности, целостности и доступности, обеспечение которых является целью информационной безопасности, в российской и западной литературе котируются одинаково: ключевыми вопросами для человечества являются <i>целостность </i>и <i>доступность</i>, и только после этого <i>конфиденциальность</i>. Стоило бы переделать акроним в IAC.</div>
</div>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://2.bp.blogspot.com/-0dsceGIWsyQ/WMKzLEZvBeI/AAAAAAAAA04/ugK9kVi9cms4WdVGK2Hz9h-CN6OyBEefwCLcB/s1600/cia.gif" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img alt="Популярность терминов конфиденциальность, целостность и доступность" border="0" height="147" src="https://2.bp.blogspot.com/-0dsceGIWsyQ/WMKzLEZvBeI/AAAAAAAAA04/ugK9kVi9cms4WdVGK2Hz9h-CN6OyBEefwCLcB/s400/cia.gif" title="" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Популярность <a href="https://books.google.com/ngrams/graph?content=confidentiality%2Cintegrity%2Cavailability&case_insensitive=on&year_start=1950&year_end=2008&corpus=0&smoothing=3&share=&direct_url=t4%3B%2Cconfidentiality%3B%2Cc0%3B%2Cs0%3B%3Bconfidentiality%3B%2Cc0%3B%3BConfidentiality%3B%2Cc0%3B%3BCONFIDENTIALITY%3B%2Cc0%3B.t4%3B%2Cintegrity%3B%2Cc0%3B%2Cs0%3B%3Bintegrity%3B%2Cc0%3B%3BIntegrity%3B%2Cc0%3B.t4%3B%2Cavailability%3B%2Cc0%3B%2Cs0%3B%3Bavailability%3B%2Cc0%3B%3BAvailability%3B%2Cc0%3B%3BAVAILABILITY%3B%2Cc0" target="_blank">на западе CIA</a> и <a href="https://books.google.com/ngrams/graph?content=%D0%BA%D0%BE%D0%BD%D1%84%D0%B8%D0%B4%D0%B5%D0%BD%D1%86%D0%B8%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE%D1%81%D1%82%D1%8C%2C%D1%86%D0%B5%D0%BB%D0%BE%D1%81%D1%82%D0%BD%D0%BE%D1%81%D1%82%D1%8C%2C%D0%B4%D0%BE%D1%81%D1%82%D1%83%D0%BF%D0%BD%D0%BE%D1%81%D1%82%D1%8C&case_insensitive=on&year_start=1950&year_end=2008&corpus=25&smoothing=3&share=&direct_url=t4%3B%2C%D0%BA%D0%BE%D0%BD%D1%84%D0%B8%D0%B4%D0%B5%D0%BD%D1%86%D0%B8%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE%D1%81%D1%82%D1%8C%3B%2Cc0%3B%2Cs0%3B%3B%D0%BA%D0%BE%D0%BD%D1%84%D0%B8%D0%B4%D0%B5%D0%BD%D1%86%D0%B8%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE%D1%81%D1%82%D1%8C%3B%2Cc0%3B%3B%D0%9A%D0%BE%D0%BD%D1%84%D0%B8%D0%B4%D0%B5%D0%BD%D1%86%D0%B8%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE%D1%81%D1%82%D1%8C%3B%2Cc0%3B%3B%D0%9A%D0%9E%D0%9D%D0%A4%D0%98%D0%94%D0%95%D0%9D%D0%A6%D0%98%D0%90%D0%9B%D0%AC%D0%9D%D0%9E%D0%A1%D0%A2%D0%AC%3B%2Cc0%3B.t4%3B%2C%D1%86%D0%B5%D0%BB%D0%BE%D1%81%D1%82%D0%BD%D0%BE%D1%81%D1%82%D1%8C%3B%2Cc0%3B%2Cs0%3B%3B%D1%86%D0%B5%D0%BB%D0%BE%D1%81%D1%82%D0%BD%D0%BE%D1%81%D1%82%D1%8C%3B%2Cc0%3B%3B%D0%A6%D0%B5%D0%BB%D0%BE%D1%81%D1%82%D0%BD%D0%BE%D1%81%D1%82%D1%8C%3B%2Cc0%3B.t4%3B%2C%D0%B4%D0%BE%D1%81%D1%82%D1%83%D0%BF%D0%BD%D0%BE%D1%81%D1%82%D1%8C%3B%2Cc0%3B%2Cs0%3B%3B%D0%B4%D0%BE%D1%81%D1%82%D1%83%D0%BF%D0%BD%D0%BE%D1%81%D1%82%D1%8C%3B%2Cc0%3B%3B%D0%94%D0%BE%D1%81%D1%82%D1%83%D0%BF%D0%BD%D0%BE%D1%81%D1%82%D1%8C%3B%2Cc0" target="_blank">в России КЦД</a></td></tr>
</tbody></table>
<div style="text-align: justify;">
Интересно отметить, что если в западной литературе понятия целостности и доступности находятся на одном уровне, то в российских реалиях понятию целостности уделяется значительно больше внимания. Можно сказать и по другому - понятию доступности у нас уделяется внимания значительно меньше чем на западе, уж не от этого ли все беды в виде перебоев работоспособности?<br />
<br /></div>
</div>
<div>
<div>
<h2 style="text-align: justify;">
Тренды сегодняшнего дня</h2>
<div style="text-align: justify;">
К недостаткам сервиса Ngram стоит отнести то, что современную литературу (начиная с 2009 года) Google не оцифровал и увидеть тренды сегодняшнего дня можно лишь умственно продолжив график. Но посмотреть изменения за последние 5 лет может помочь еще один сервис - <a href="https://trends.google.ru/" target="_blank">Google Тренды</a>.</div>
</div>
<div style="text-align: justify;">
<br />
Вот здесь, например, видно, что компания Kaspersky в России значительно отстает по популярности от компании Dr Web, при этом явно опережая ее по популярности на международном рынке. Хотя, учитывая нисходящий тренд популярности Dr Web, ситуация в российском сегменте может измениться уже в ближайшее время.<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://3.bp.blogspot.com/-mBfpN0M13FQ/WMZKPCjfdyI/AAAAAAAAA1Q/pNf6lxNLd0o337cx-mGfga3DLty9hMDkACLcB/s1600/avz.gif" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img alt="Популярность компаний Kaspersky и Dr Web на российском и международном рынках" border="0" height="205" src="https://3.bp.blogspot.com/-mBfpN0M13FQ/WMZKPCjfdyI/AAAAAAAAA1Q/pNf6lxNLd0o337cx-mGfga3DLty9hMDkACLcB/s400/avz.gif" title="" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Популярность компаний Kaspersky и Dr Web</td></tr>
</tbody></table>
<h2 style="text-align: justify;">
DLP, SIEM или IDM ?</h2>
<div style="text-align: justify;">
А вот здесь видно, как менялась популярность систем защиты классов DLP, SIEM, IDM. Начиная с 2014 года интерес к DLP системам снизился, уступив первое место SIEM системам, что вполне объясняется насыщением рынка DLP. Этот тренд соблюдается уже несколько лет с тем лишь изменением что в текущем году IDM системы так же обогнали по популярности DLP.</div>
</div>
<div style="text-align: justify;">
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://4.bp.blogspot.com/-ok_HNRP2vi8/WMZMY_w3tII/AAAAAAAAA1c/InOf5CLN6I0stb1Z4lj5vpsDoUVb-1SMACLcB/s1600/siem_dlp_idm.gif" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img alt="Популярность систем защиты DLP, SIEM и IDM на российском рынке" border="0" height="205" src="https://4.bp.blogspot.com/-ok_HNRP2vi8/WMZMY_w3tII/AAAAAAAAA1c/InOf5CLN6I0stb1Z4lj5vpsDoUVb-1SMACLcB/s400/siem_dlp_idm.gif" title="" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Популярность систем защиты DLP, SIEM и IDM на российском рынке</td></tr>
</tbody></table>
<br /></div>
<div style="text-align: justify;">
Варианты использования сервисов ограничиваются лишь фантазией аналитика и вполне могут пригодиться в любой профессиональной области. Ведь понимание того, какие понятия и темы только набирают популярность, а к каким теряется интерес, полезно для объективного восприятия любой предметной области.<br />
Еще одним плюсом указанных сервисов является то, что для того, чтобы понять какие тренды и тенденции существуют в предметной области не нужно полагаться на субъективное мнение экспертов и внешних аудиторов, проводить исследования и оценки. Все уже посчитано, только бери и используй.</div>
</div>
</div>
Николай Казанцевhttp://www.blogger.com/profile/06360204847185313704noreply@blogger.com0tag:blogger.com,1999:blog-5629533353479039418.post-87206095350126389592017-02-14T02:18:00.000-08:002017-02-14T02:26:35.872-08:006 способов контроля доступа устройств к ресурсам сети<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="separator" style="clear: both; text-align: center;">
<a href="https://3.bp.blogspot.com/-VFADt2hr2Jw/WKLOcr04ooI/AAAAAAAAAzw/v2uwky-vD0ILARHB_aTJkdEYLKbqxurZQCLcB/s1600/lan_control.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em; text-align: justify;"><img border="0" height="200" src="https://3.bp.blogspot.com/-VFADt2hr2Jw/WKLOcr04ooI/AAAAAAAAAzw/v2uwky-vD0ILARHB_aTJkdEYLKbqxurZQCLcB/s200/lan_control.png" width="191" /></a></div>
<div class="MsoNormal" style="text-align: justify;">
С контролем доступа к ресурсам сети (например, файловым) все
просто - есть пользователи, есть ресурсы, устанавливаем права доступа на уровне
ресурса и готово. Но как обстоят дела с контролем доступа на уровне
устройств? Как сделать так, чтобы доступ определялся и на уровне пользователя,
и на уровне устройства, с которого осуществляется подключение? Далее опишу
подходы, позволяющие снизить вероятность подключения к ресурсам организации
с не доверенных узлов.<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
</div>
<a name='more'></a><br />
<div class="MsoNormal" style="text-align: justify;">
Прежде конкретизируем задачу: внутри локальной сети сервера
с ресурсами и рабочие места пользователей. Важно, чтобы доступ к ресурсам
пользователи получали только с доменных компьютеров (части компьютеров), на
которые установлены средства защиты и контроля. Речь о внутренней
инфраструктуре и средства межсетевого экранирования уровня сети не
рассматриваем.</div>
<div class="MsoNormal" style="text-align: justify;">
<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
Хорошо если контролируешь инфраструктуру на физическом
уровне, это позволяет частично снизить вероятность появления не
доверенных устройств организационными мерами. Но доверять только
физическим и организационным мерам не стоит, да и бывают ситуации, когда
инфраструктура полностью или в какой-то части находится вне физического и
сетевого контроля. Например, совместное использование кабельной сети и
коммутационного оборудования с другими организациями в рамках инфраструктуры
бизнес-центра или использование беспроводной сети.<br />
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
Итак, как контролировать доступ c
устройств техническими мерами:<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<h3 style="text-align: justify;">
Взаимодействие только с сетевой инфраструктурой:</h3>
<div class="MsoNormal" style="text-align: justify;">
<o:p></o:p></div>
<div style="text-align: justify;">
<o:p><br /></o:p></div>
<h4 style="text-align: justify;">
<o:p> </o:p>1. Port security</h4>
<div class="MsoNormal" style="text-align: justify;">
<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
Базовая защитная мера уровня коммутационного оборудования,
заключающаяся в ограничении доступа в сеть в зависимости от MAC адреса
устройства. Входит в <a href="https://spbsecurity.blogspot.ru/2016/09/top30ciscosecurity.html" target="_blank">Топ 30 мер по защите коммутационного оборудования</a>.<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
Недостатки: мера малоэффективна и является скорее
защитой от <strike>дурака</strike> случайных нарушений, т.к. подделка MAC адреса задача тривиальная. <o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
Условия внедрения: наличие контроля над коммутационным
оборудованием, наличие требуемых функций на оборудовании.</div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<h3 style="text-align: justify;">
Взаимодействие с серверной и сетевой инфраструктурой:</h3>
<div class="MsoNormal" style="text-align: justify;">
<o:p></o:p></div>
<div style="text-align: justify;">
<o:p><br /></o:p></div>
<h4 style="text-align: justify;">
2. 802.1x / NAC</h4>
<div class="MsoNormal" style="text-align: justify;">
<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
Если все коммутационное оборудование под контролем, то
возможно развертывание инфраструктуры 802.1x на базе RADIUS сервера или
технологии Network Access Control (у Microsoft
это роль Network Policy Server c компонентом Network Access Protection (NAP). </div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
Решение позволяет осуществлять предварительную авторизацию устройств и
назначение им IP/VLAN в зависимости от результатов проверки. В случае
успешного внедрения получаем возможность динамически размещать узлы по VLAN и
проводить разноплановые проверки подключаемых узлов, например - наличие и актуальность
антивирусного ПО или межсетевого экрана.<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
Недостатки: относительная сложность настройки, необходимость
развертывания отдельного сервера авторизации, отсутствие возможности настройки
специфичных проверок штатными средствами. <o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<h3 style="text-align: justify;">
<o:p> </o:p>Взаимодействие только с серверной инфраструктурой:</h3>
<div class="MsoNormal" style="text-align: justify;">
<o:p></o:p></div>
<div style="text-align: justify;">
<br /></div>
<h4 style="text-align: justify;">
3. Microsoft Dynamic Access control</h4>
<div class="MsoNormal" style="text-align: justify;">
<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
Решение, полностью решающее задачу контроля доступа с
устройств к файловым ресурсам. Начиная с MS Windows Server 2012 для управления
доступом к ресурсам могут использоваться реквизиты (<a href="https://msdn.microsoft.com/en-us/library/ff359101.aspx" target="_blank">clames</a>)
и пользователя, и компьютера, с которого осуществляется подключение. Достаточно
определить политику, устанавливающую одним из требований на доступ к файловым
ресурсам наличие компьютера, с которого осуществляется доступ, в нужной группе
службы каталогов. Доступ на основе клэйма компьютера это не главное
преимущество технологии динамического контроля доступа, но для
решения нашей задачи оно ключевое. Для погружения в вопрос рекомендую это
<a href="https://www.youtube.com/watch?v=fogumI-7Oe4" target="_blank">видео</a>.<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
Главное ограничение, которое ставит крест на внедрении этого
решения в большинстве инфраструктур в том, что клэймы устройств работают только
если клиентом выступает ОС Windows 10 и выше.<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
Если исходными данными является инфраструктура, полностью
построенная на Windows 10, то это решение однозначно не стоит обходить
стороной.<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
Так же к недостаткам можно отнести возможность настройки
доступа только к файловым ресурсам, защитить таким образом доступ к ресурсам на
других протоколах не удастся. (Хотя тут могу и ошибаться, т.к. до промышленного
внедрения по причине первого ограничения не дошел)<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<h4 style="text-align: justify;">
4. IPSec</h4>
<div class="MsoNormal" style="text-align: justify;">
<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
Есть достаточно элегантное решение, заключающееся в
настройке доступа к ключевым серверам организации по IPSec. В данном случае мы
используем IPSec не по прямому назначению для создания VPN подключений, а
применяем его для ограничения доступа между узлами одной сети. </div>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://1.bp.blogspot.com/-qPB81Sv69YE/WKLTAVfV9NI/AAAAAAAAAz8/jrZjpXWekeEIF9gEA8fnQDPdON6jT5fYQCLcB/s1600/ipsec_access.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img alt="Схема контроля доступа к ресурсам сети на базе IPSec" border="0" height="256" src="https://1.bp.blogspot.com/-qPB81Sv69YE/WKLTAVfV9NI/AAAAAAAAAz8/jrZjpXWekeEIF9gEA8fnQDPdON6jT5fYQCLcB/s400/ipsec_access.png" title="Схема контроля доступа к ресурсам сети на базе IPSec" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Схема контроля доступа на базе IPSec</td></tr>
</tbody></table>
<div class="MsoNormal" style="text-align: justify;">
Настройка осуществляется через групповые политики,
которые применяются на сервера и рабочие станции, с которых нужен доступ. В результате только компьютеры, на которых политика была
применена (а это могут быть не все доменные компьютеры, а только группа
компьютеров) будут иметь доступ к ключевым серверам, остальные же узлы просто
не смогут установить соединение с сервером.</div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
Если мы защищаем конкретный сервис (например, файловую шару,
БД, Web-сервис) то и переводить на IPSec будем только порты защищаемого
протокола, а не все соединения с сервером, что снизит нагрузку на сеть и
оборудование.</div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
Так же, если защита от перехвата трафика в задачах не стоит,
то IPSec достаточно настроить в режиме контроля целостности по MD5, а
шифрование отключить, что еще больше снизит нагрузку.<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
Применение групповой политики должно осуществляться
одномоментно на сервер и все компьютеры, которым необходимо подключение. Если
политика на компьютер не применена, доступа к серверу не будет. </div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<h3 style="text-align: justify;">
Без взаимодействия с инфраструктурой:</h3>
<div class="MsoNormal" style="text-align: justify;">
<o:p></o:p></div>
<div style="text-align: justify;">
<br /></div>
<h4 style="text-align: justify;">
5. Скрипты</h4>
<div class="MsoNormal" style="text-align: justify;">
<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
Если вносить изменения в сетевую
или северную инфраструктуру нет возможности, то можно решить задачу
путем анализа успешных подключений к серверам скриптом со следующим алгоритмом:<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
</div>
<ul>
<li>Проверка логов контроллера домена (или файлового сервера) на предмет событий авторизации пользователя;</li>
<li>Выделение из событий авторизации имени компьютера, с которого
подключился пользователь;</li>
<li>Попытка подключиться к этому компьютеру по протоколам SMB
(CIFS) или WMI. Если подключение не удалось - значит узел не входит в домен
(или у него проблемы с доступом, что тоже не порядок).</li>
<li>Реагирование на нарушение: занесение информации о проблемных узлах в лог скрипта, уведомление администратора безопасности, отключение учетной записи</li>
</ul>
Подобное решение удобно с точки зрения кастомизации и объединения с другими скриптами, например с <a href="https://spbsecurity.blogspot.ru/2016/11/PowerMatrix.html" target="_blank">автоматизированной матрицей доступа</a> или <a href="https://spbsecurity.blogspot.ru/2015/11/InfSystemsPlans.html" target="_blank">автоматическими поэтажными планами</a>. При этом, как и любое собственное решение оно требует значительного времени на разработку и наладку.<br />
<div>
<o:p></o:p><br />
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<o:p></o:p></div>
<h4 style="text-align: justify;">
6 Сканирование</h4>
<div class="MsoNormal" style="text-align: justify;">
<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
Наиболее распространенное и простое решение, заключающееся в
использовании любого сетевого сканера. В случае использования наиболее
продвинутых вариантов возможно максимально автоматизировать процесс выявления
новых или не соответствующих требованиям устройств и снизить временные затраты.
Отсутствие необходимости интеграции с серверной и сетевой инфраструктурой
упрощает внедрение данного решения.<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
В качестве недостатка следует отметить время, так как любой
анализ будет ретроспективен, а также невозможность активного противодействия
доступу с не доверенных устройств.<o:p></o:p></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<h3 style="text-align: justify;">
Резюме</h3>
<div class="MsoNormal" style="text-align: justify;">
<o:p></o:p></div>
<br />
<div class="MsoNormal" style="text-align: justify;">
Выбор подходящего решения на прямую зависит от архитектуры
защищаемой инфраструктуры, от компетенции персонала, а также соотношения
затрат на внедрение к критичности защищаемых ресурсов. </div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
Решений много, надеюсь варианты,
описанные выше, будет полезны. В свою очередь, если сталкивались с иным
решением, прошу написать в комментариях.<o:p></o:p></div>
</div>
</div>
Николай Казанцевhttp://www.blogger.com/profile/06360204847185313704noreply@blogger.com0tag:blogger.com,1999:blog-5629533353479039418.post-63185598280011192912017-01-18T06:05:00.000-08:002017-01-18T06:28:08.269-08:00Power Pivot / Power BI для информационной безопасности и ИТ аудита<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://3.bp.blogspot.com/-VI2GebHiwZE/WH95UhTAPUI/AAAAAAAAAzU/mcojDmLGJ58OWdAl4c5L4-SSAB3R3ZVtACLcB/s1600/powerbi_for_security.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="118" src="https://3.bp.blogspot.com/-VI2GebHiwZE/WH95UhTAPUI/AAAAAAAAAzU/mcojDmLGJ58OWdAl4c5L4-SSAB3R3ZVtACLcB/s200/powerbi_for_security.png" width="200" /></a></div>
Потребность в аналитике больших объемов данных, с целью аудита, выявления проблем и генерации новых знаний, высока в любой связанной с ИТ области.</div>
<div style="text-align: justify;">
Направление информационной безопасности не исключение. Для сбора и корреляции разнокачественных источников данных принято использовать системы класса SIEM (Security information and event management). При этом для оперативного решения задач, встающих перед службой информационной безопасности, хорошо подходят и системы бизнес аналитики (Business Intelligence).</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Далее расскажу о том, как можно применять бесплатные аналитические системы Microsoft Power Pivot / Power View и Power BI для решения задач информационной безопасности и ИТ аудита.</div>
<div style="text-align: justify;">
</div>
<a name='more'></a><br />
<h3 style="text-align: left;">
<span style="text-align: justify;">Power Pivot / Power View</span></h3>
<div style="text-align: justify;">
Начиная с MS Office 2010 в Excel появились надстройки <a href="https://support.office.com/ru-ru/article/Power-Pivot-%D0%BC%D0%BE%D1%89%D0%BD%D1%8B%D0%B5-%D1%81%D1%80%D0%B5%D0%B4%D1%81%D1%82%D0%B2%D0%B0-%D0%B0%D0%BD%D0%B0%D0%BB%D0%B8%D0%B7%D0%B0-%D0%B8-%D0%BC%D0%BE%D0%B4%D0%B5%D0%BB%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D1%8F-%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%85-%D0%B2-Excel-d7b119ed-1b3b-4f23-b634-445ab141b59b?ui=ru-RU&rs=ru-RU&ad=RU" target="_blank">PowerPivot</a>, <a href="https://support.office.com/ru-ru/article/Power-View-%D0%B8%D1%81%D1%81%D0%BB%D0%B5%D0%B4%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5-%D0%B2%D0%B8%D0%B7%D1%83%D0%B0%D0%BB%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D1%8F-%D0%B8-%D0%BF%D1%80%D0%B5%D0%B4%D1%81%D1%82%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5-%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%85-98268d31-97e2-42aa-a52b-a68cf460472e?ui=ru-RU&rs=ru-RU&ad=RU" target="_blank">PowerView</a>, <a href="https://support.office.com/ru-ru/article/%D0%9D%D0%B0%D1%87%D0%B0%D0%BB%D0%BE-%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D1%8B-%D1%81-Power-Map-88a28df6-8258-40aa-b5cc-577873fb0f4a?ui=ru-RU&rs=ru-RU&ad=RU" target="_blank">PowerMap</a>.</div>
<div style="text-align: justify;">
Надстройки позволяют обрабатывать и визуализировать большие объемы данных из нескольких источников. В общих чертах работа с надстройками сводится к следующим этапам: </div>
<div style="text-align: justify;">
</div>
<ol>
<li>Исходя из задачи определить источники информации</li>
<li>Загрузить данные в Power Pivot</li>
<li>Провести дополнительную обработку данных и связать таблицы между собой (создать модель данных)</li>
<li>Вывести на PowerView интересующие графики и отчеты</li>
</ol>
<div style="text-align: justify;">
<br /></div>
<h4 style="text-align: justify;">
Пример: Аудит web сервиса</h4>
<div style="text-align: justify;">
В компании есть web сервис, с помощью которого внешние пользователи регистрируются на прием и подают заявления. Количество ресурсов (время приема) ограниченно, кто не успел - ждет следующей недели, значит - возможны злоупотребления. Межсетевые экраны фиксируют атаки на сервис, больше всего в момент открытия регистрации на прием.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Требуется провести аудит, чтобы понять нагрузку на сервис, кто из пользователей и организаций наиболее активен, как пользователи связаны с атаками, есть ли аномалии в работе сервиса.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<i>Исходные данные:</i> логи web сервера, БД web приложения, БД web aplication firewall</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Объединяя исходные данные на одном листе PowerView получаем удобный инструмент аналитики. Ответы на перечисленные вопросы становятся буквально "видны". Кроме того, становятся доступны новые знания, например были выявлены взаимосвязи пользователей между собой (по почте, IP адресам) что позволило лучше понять происходящие процессы и пресечь злоупотребления.</div>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://2.bp.blogspot.com/-YIrUHEbCHlo/WH9smzep2YI/AAAAAAAAAyo/1Db_KSE35_gmxF1urGia8DR_HxgyAbGIgCEw/s1600/powerview_securityaudit_big.gif" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img alt="Анализ пользователей web сервиса через Power View" border="0" height="300" src="https://2.bp.blogspot.com/-YIrUHEbCHlo/WH9smzep2YI/AAAAAAAAAyo/1Db_KSE35_gmxF1urGia8DR_HxgyAbGIgCEw/s400/powerview_securityaudit_big.gif" title="" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="font-size: 12.8px;">Анализ пользователей web сервиса через Power View</td></tr>
</tbody></table>
<div style="text-align: justify;">
<br /></div>
<h3 style="text-align: justify;">
Power BI</h3>
<div style="text-align: justify;">
С 2016 у Microsoft появился отдельный продукт, позиционирующийся как сервис бизнес аналитики. Power BI базируется на тех же компонентах и логике что и Power Pivot, но является отдельным приложением, а не надстройкой к Excel. Возможностей по аналитике значительно больше, есть дополнительные плагины, в том числе для <a href="https://spbsecurity.blogspot.ru/2016/12/SecurityVisualisation.html">визуализации связей</a>. Так же доступен хороший <a href="https://powerbi.microsoft.com/ru-ru/guided-learning/" target="_blank">учебный курс</a>.</div>
<h4 style="text-align: justify;">
</h4>
<div style="text-align: justify;">
<br /></div>
<h4 style="text-align: justify;">
Пример: Аудит подключений пользователей</h4>
<div style="text-align: justify;">
В компании есть терминальные сервера, к которым подключаются внешние пользователи. Требуется провести аудит активности внешних пользователей на терминальных серверах, а так же внутренних пользователей на контроллерах домена, выявить подозрительную активность, в том числе по неудачным подключениям.</div>
<div style="text-align: justify;">
<i><br /></i>
<i>Исходные данные:</i> Windows event logs с серверов, каталоги Active Directory, таблицы Microsoft security events description.</div>
<div style="text-align: justify;">
<i><br /></i>
<i>Нюансы:</i> в PowerBI есть функционал по подключению к Active Directory, но он не подходит для нашей задачи (не собираются параметры учетных записей), по этому сведения о пользователях собираются скриптом по расписанию, взять можно <a href="https://yadi.sk/d/5Ji8gVVM39ebBe" target="_blank">тут</a>.</div>
<div style="text-align: justify;">
<br />
Для сбора eventlog так же используем скрипт, который преобразует и сохраняет выборку из eventlog в CSV формат, взять можно <a href="https://yadi.sk/d/P8OEBv1Y39ebhC" target="_blank">тут</a>.</div>
<div style="text-align: justify;">
<br />
Помимо общей статистики, о том какие пользователи и организации работают больше всего или в какое время на сервера идет наибольшая нагрузка по результатам аудита были выявлены такие инциденты:</div>
<div style="text-align: justify;">
</div>
<ol>
<li>Использование учетных записей пользователей с нескольких узлов, в том числе одновременно, что означало компрометацию учетной записи;</li>
<li>Активности в нерабочее время, когда пользователь не мог быть на своем рабочем месте;</li>
<li>Брутфорс пароля. На сервере фиксировались события неправильного ввода пароля пользователем, но блокировки учетной записи не происходило, т.к. между попытками ввода пароля проходило достаточно много времени чтобы сбрасывался счетчик неудачных попыток авторизации. Учитывая, что в день таких событий по одному пользователю было более 30 предположение о том, что это человеческий фактор, было исключено.</li>
</ol>
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://2.bp.blogspot.com/-_-KlESNS9ak/WH9sm7ybsMI/AAAAAAAAAy0/3Tb03dMq6LAfQWPnvaHpALgJPkYd7FxHACEw/s1600/powerbi_securityaudit_big.gif" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img alt="Анализ подключений пользователей через Power BI" border="0" height="236" src="https://2.bp.blogspot.com/-_-KlESNS9ak/WH9sm7ybsMI/AAAAAAAAAy0/3Tb03dMq6LAfQWPnvaHpALgJPkYd7FxHACEw/s400/powerbi_securityaudit_big.gif" title="" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="font-size: 12.8px;">Анализ подключений пользователей через Power BI</td></tr>
</tbody></table>
<h3 style="text-align: justify;">
Резюме</h3>
<div style="text-align: justify;">
Если Power Pivot стал для меня скорее вынужденным инструментом для решения конкретных задач то Power BI это настоящее открытие, дающее весьма широкие возможности для оперативного анализа всего и вся. Недостатком Power BI является то, что он <strike>не SIEM и</strike> не умеет осуществлять сложных корреляций и слать оповещения. Но как инструмент для получения новых знаний и проведения периодических аудитов Power BI подходит отлично.</div>
<div style="text-align: justify;">
<br />
Преимуществом визуального анализа является то, что в процессе анализа часто выявляются знания, о которых ранее было ничего не известно. Появляются ответы на вопросы, которые не задавались, но не потому, что не важны, а потому что предвидеть все не возможно. </div>
<div style="text-align: justify;">
<br />
А какие инструменты для анализа данных используете вы? Какие нестандартные источники данных при визуальном анализе дают полезные службе ИБ результаты? </div>
</div>
Николай Казанцевhttp://www.blogger.com/profile/06360204847185313704noreply@blogger.com0tag:blogger.com,1999:blog-5629533353479039418.post-85840179804855959522016-12-22T22:12:00.000-08:002016-12-22T22:14:32.228-08:00Визуализация связей на службе информационной безопасности<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="separator" style="clear: both; text-align: center;">
<a href="https://1.bp.blogspot.com/-_wPU6SDKca4/WFvYEC0oCRI/AAAAAAAAAyE/0R24reyakiEZXCoEZVz9kaJxFmjCi-jHQCLcB/s1600/gephi3.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="195" src="https://1.bp.blogspot.com/-_wPU6SDKca4/WFvYEC0oCRI/AAAAAAAAAyE/0R24reyakiEZXCoEZVz9kaJxFmjCi-jHQCLcB/s320/gephi3.png" width="320" /></a></div>
<div style="text-align: justify;">
Для решения задач информационной безопасности полезно, а иногда и необходимо, анализировать большие объемы данных. А при любом анализе отлично помогают средства визуализации. </div>
<div style="text-align: justify;">
<br />
Самые распространенные объекты для визуализации это конечно сетевой трафик. Но и кроме трафика в любой инфраструктуре хранится множество данных, визуализация которых может помочь получить знания, полезные службе ИБ. <span style="text-align: left;">Например, к интересным результатам может привести анализ связей пользователей через электронную почту, или связь компьютеров (пользователей) через подключавшиеся съемные носители информации, подключение пользователей с различных компьютеров и подключение пользователей к серверам компании.</span></div>
<div style="text-align: justify;">
<br />
Существует множество инструментов, которые могут помочь при визуализации. Далее опишу те, что нашли место на моем рабочем столе.</div>
<div style="text-align: justify;">
</div>
<a name='more'></a><div style="text-align: left;">
<span style="text-align: justify;"><br /></span></div>
<h3 style="text-align: left;">
<span style="text-align: justify;">GIGRAPH Network Visualization</span></h3>
<div style="text-align: justify;">
Как ни крути а Excel лучший помощник при решении множества задач (например, Excel отлично подходит для ведения <a href="https://spbsecurity.blogspot.ru/2016/11/PowerMatrix.html" target="_blank">автоматизированных матриц доступа</a>). Начиная с 2016 версии в Excel по умолчанию входит бесплатный компонент GIGRAPH (меню Вставка -> Надстройки -> Магазин), который позволяет по трем параметрам (<i>источник-назначение-величина</i>) строить интерактивные карты взаимосвязей.</div>
<div style="text-align: justify;">
<br />
Разберем его работу на примере анализа использования съемных носителей, которые являются одним из основных каналов утечки и хорошо бы <strike>их все заблокировать </strike>понимать кто и как их использует.</div>
<div style="text-align: justify;">
<br />
Получить информацию о том, какие съемные носители подключались к компьютерам в сети можно через систему инвентаризации, контроля съемных носителей, DLP, PowerShell и т.д. В конечном счете нас интересует список вида <i>компьютер - носитель</i> (к одному компьютеру может подключаться много носителей, а один носитель может подключаться ко многим компьютерам). </div>
<div style="text-align: justify;">
<br />
В результате передачи данных в Excel и далее в GIGRAPH получаем такую картину:</div>
<div style="text-align: justify;">
<i>прим.: все изображения можно увеличить.</i></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://4.bp.blogspot.com/-sWNFfpY_sZs/WFvJpCduSDI/AAAAAAAAAwk/c7m1B2OmRrw2qMrFoyMrIEYkERD7kB-AwCLcB/s1600/gigraph1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="371" src="https://4.bp.blogspot.com/-sWNFfpY_sZs/WFvJpCduSDI/AAAAAAAAAwk/c7m1B2OmRrw2qMrFoyMrIEYkERD7kB-AwCLcB/s400/gigraph1.png" width="400" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<span style="text-align: left;"><br /></span></div>
<div class="separator" style="clear: both; text-align: justify;">
<span style="text-align: left;">Видно, что часть носителей используется на большинстве компьютеров, а часть используется локальными, не пересекающимися, группами. Уже на базе этих сведений можно понять как носители применяются в технологических процессах структурных подразделений компании.</span></div>
<div>
<div style="text-align: justify;">
<br />
При дальнейшем изучении можно выявить подозрительную активность, например:</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://1.bp.blogspot.com/-YQYcs1ECRWM/WFvLd7zYCEI/AAAAAAAAAw0/gc41ryei9ygkaYH66FmeuJXr7qNv7NjTQCLcB/s1600/sni_animate.gif" imageanchor="1"><img border="0" height="400" src="https://1.bp.blogspot.com/-YQYcs1ECRWM/WFvLd7zYCEI/AAAAAAAAAw0/gc41ryei9ygkaYH66FmeuJXr7qNv7NjTQCLcB/s400/sni_animate.gif" width="400" /></a></div>
<div>
<br /></div>
</div>
<div style="text-align: justify;">
В этом примере группа компьютеров (в реальности одно из подразделении компании) используют общий носитель. При этом на одном из компьютеров группы так же использовался другой носитель, который в свою очередь подключался к компьютеру другого подразделения, не связанного с первым. Сами по себе эти знания не являются инцидентом, но дают вектор для дальнейшего исследования.</div>
<div style="text-align: justify;">
<br />
А вот такая картина получается при анализе электронной почты:
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://1.bp.blogspot.com/-Gh4_lPm_fXM/WFvMsquf0lI/AAAAAAAAAxA/ShqL14l2EvIQJGbV7p559sSNj_kNmFtRACLcB/s1600/mail_animate2.gif" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="400" src="https://1.bp.blogspot.com/-Gh4_lPm_fXM/WFvMsquf0lI/AAAAAAAAAxA/ShqL14l2EvIQJGbV7p559sSNj_kNmFtRACLcB/s400/mail_animate2.gif" width="400" /></a></div>
<div style="text-align: justify;">
Не смотря на большой объем данных при увеличении карты становятся явно видны ключевые участники, которых можно, в случае необходимости, отфильтровать и продолжить анализ.</div>
<div style="text-align: justify;">
<br />
В данном примере отфильтрована почта с вложениями (отправитель - получатель - количество вложений) с целью выявления каналов распространения и утечки документов компании. Но можно анализировать и другие параметры: количество отправленных писем, документов заданного типа, упоминаний о ключевой теме и т.д. в зависимости от того что хочется проанализировать и что доступно для сбора в качестве исходных данных.</div>
<div>
<br />
<i>Сайт:</i> <a href="https://store.office.com/ru-ru/app.aspx?assetid=WA104379873&ui=ru-RU&rs=ru-RU&ad=RU&appredirect=false" target="_blank">GIGRAPH Network Visualization</a></div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div style="text-align: justify;">
<i>Недостатки:</i> практика показала, что более 2000 объектов ПО переварить не может. Использую данный модуль при необходимости быстро провести анализ небольшого объема данных.<br />
<br /></div>
<h3 style="text-align: justify;">
Gephi - The Open Graph Viz Platform</h3>
<div style="text-align: justify;">
Если GIGRAPH это скорее небольшой компонент для оперативного и легкого анализа, то Gephi это полновесная система. ПО обладает большим количеством настроек, на его освоение требуется больше времени, но и результаты получаются куда интереснее. Вот так, например, выглядят связи пользователей по отправке вложений через электронную почту:</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://1.bp.blogspot.com/-PfyS3IySeGE/WFvNzuCaCrI/AAAAAAAAAxI/R_5ISOaJ1yIS3y-IVJP9L8f9-OmTqY7sACLcB/s1600/gephi.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="365" src="https://1.bp.blogspot.com/-PfyS3IySeGE/WFvNzuCaCrI/AAAAAAAAAxI/R_5ISOaJ1yIS3y-IVJP9L8f9-OmTqY7sACLcB/s400/gephi.png" width="400" /></a></div>
<div class="separator" style="clear: both; text-align: left;">
А вот так те же связи выглядят после дополнительной настройки (стали явно видны ключевые участники):</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://1.bp.blogspot.com/-h6VLdaLFlgM/WFvODjei4sI/AAAAAAAAAxM/9S5DScze_1YLuIFowE_YxmMjB2xncg47ACLcB/s1600/gephi2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="307" src="https://1.bp.blogspot.com/-h6VLdaLFlgM/WFvODjei4sI/AAAAAAAAAxM/9S5DScze_1YLuIFowE_YxmMjB2xncg47ACLcB/s400/gephi2.png" width="400" /></a></div>
<div style="text-align: justify;">
<i>Сайт:</i> <a href="https://gephi.org/" target="_blank">Gephi - The Open Graph Viz Platform</a></div>
<div style="text-align: justify;">
<i>Недостатки:</i> требуется предварительная обработка данных и настройка системы, но это окупается ее возможностями.<br />
<br /></div>
<h3 style="text-align: justify;">
SearchInform ReportCenter</h3>
<div style="text-align: justify;">
<div>
Это DLP система в которой по всем собираемым данным (почта, мессенджеры, соц. сети) можно визуализировать связи пользователей. </div>
<div>
<br />
ПО создавалось именно для решения задач информационной безопасности и оно наиболее удобно в повседневной работе, например по каждому объекту карты можно проваливаться для детального анализа событий, а внешние и внутренние контакты разделяются визуально.</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://4.bp.blogspot.com/-Xq8_sTobflQ/WFvO8g_H_xI/AAAAAAAAAxU/M4TvjQPnkpcPUw6oG3XAvqb4034RgaSOgCLcB/s1600/reportcenter.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="266" src="https://4.bp.blogspot.com/-Xq8_sTobflQ/WFvO8g_H_xI/AAAAAAAAAxU/M4TvjQPnkpcPUw6oG3XAvqb4034RgaSOgCLcB/s400/reportcenter.png" width="400" /></a></div>
<div>
<i>Сайт:</i> <a href="https://searchinform.ru/" target="_blank">Контур информационной безопасности SearchInform</a></div>
<div>
<i>Недостатки:</i> коммерческий продукт, можно строить связи только по тем данным, что собрала DLP система.<br />
<br /></div>
<h3>
EtherApe</h3>
<div>
Что касается анализа сетевой активности то для этого подходит ПО EtherApe. ПО в реальном времени берет трафик с сетевой карты либо из .pcap файла и отражает связи между узлами сети с разбивкой по протоколам. При чем на выходе получается не статичная карта а интерактивный ролик, чем то напоминающий <a href="https://krebsonsecurity.com/2015/01/whos-attacking-whom-realtime-attack-trackers/" target="_blank">интерактивные карты кибер атак</a>.
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://3.bp.blogspot.com/-9etHWShMZto/WFvRXt4p9ZI/AAAAAAAAAxk/1194UndttiwJMD1UT3nIjNyBaAxOcRWZwCLcB/s1600/etherap.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="196" src="https://3.bp.blogspot.com/-9etHWShMZto/WFvRXt4p9ZI/AAAAAAAAAxk/1194UndttiwJMD1UT3nIjNyBaAxOcRWZwCLcB/s400/etherap.png" width="400" /></a></div>
<div>
<i>Сайт:</i> <a href="http://etherape.sourceforge.net/" target="_blank">EtherApe</a></div>
<div>
<div>
<i>Недостатки:</i> по создаваемой карте нельзя передвигаться и анализировать элементы, по этому для вдумчивой аналитики подходит слабо.<br />
<br /></div>
</div>
<h3>
OpenGraphiti</h3>
<div>
Фреймворк для анализа сетевой активности через построение трехмерных карт. Пока не удалось его развернуть и привожу упоминание о нем лишь в качестве примера идеальных карт.</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://2.bp.blogspot.com/-RVkZ8XyLaIc/WFvUO14O1QI/AAAAAAAAAx0/pkVLOPz8HQkmCEBgZzv5GFypPJpHvpR_wCLcB/s1600/opengraphiti.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="290" src="https://2.bp.blogspot.com/-RVkZ8XyLaIc/WFvUO14O1QI/AAAAAAAAAx0/pkVLOPz8HQkmCEBgZzv5GFypPJpHvpR_wCLcB/s400/opengraphiti.jpg" width="400" /></a></div>
<div>
Сайт: <a href="http://www.opengraphiti.com/" target="_blank">OpenGraphiti</a><br />
<br /></div>
<div>
<h3>
Резюме</h3>
</div>
<div>
Средств для визуализации много. Более ценны не средства а результаты, которых мы достигаем их применяя. А для получения интересных и полезных службе ИБ результатов нужно прежде всего понимать какие данные и в каком разрезе следует подвергнуть визуальному анализу.</div>
<div>
<br />
А применяете ли вы средства визуализации с целью решения задач информационной безопасности, какие?</div>
</div>
</div>
Николай Казанцевhttp://www.blogger.com/profile/06360204847185313704noreply@blogger.com0tag:blogger.com,1999:blog-5629533353479039418.post-68518540471517142322016-11-02T02:34:00.000-07:002016-11-02T02:34:33.770-07:00PowerMatrix - автоматизированная матрица доступа<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: justify;">
<a href="https://3.bp.blogspot.com/-dvX8Fg5qu50/WBmvQL2yU4I/AAAAAAAAAv0/3kAPRa3cm2EW6ktJc5BpL9wif3sAykregCLcB/s1600/PowerMatrix6.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em; text-align: left;"><img alt="Матрица доступа (матрица пользователей и полномочий)" border="0" height="115" src="https://3.bp.blogspot.com/-dvX8Fg5qu50/WBmvQL2yU4I/AAAAAAAAAv0/3kAPRa3cm2EW6ktJc5BpL9wif3sAykregCLcB/s200/PowerMatrix6.png" title="" width="200" /></a>Ведение матрицы доступа, устанавливающей права пользователей на доступ к информационным ресурсам, является одной из базовых задач службы информационной безопасности. При этом сверка согласованных пользователю прав с реальными правами пользователя в инфраструктуре без применения средств автоматизации достаточно трудоемкая задача. Автоматизация возможна за счет внедрения систем класса IDM, но это весьма затратная процедура и не каждая организация к этому готова.</div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: justify;">
Решая задачи учета пользователей и их полномочий в инфраструктуре на свет появился скрипт PowerMatrix, позволяющий автоматизировать множество рутинных задач службы ИБ. Далее предлагаю вашему вниманию описание системы с примерами и исходниками.</div>
<a name='more'></a><br />
<span style="text-align: justify;">PowerMatrix собирает данные из инфраструктуры (служба каталогов, базы данных, текстовые файлы) и формирует результирующую матрицу в Excel файл. Скрипт написан на PowerShell.</span><br />
<div>
Работает PowerMatrix в 3 режимах: </div>
<ol>
<li>Создание матрицы (первичный аудит инфраструктуры)</li>
<li>Ведение и актуализация матрицы (контроль изменений и соответствия)</li>
<li>Внесение изменений в инфраструктуру через матрицу</li>
</ol>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://4.bp.blogspot.com/-mmWEpkpsFRg/WBmwImYHQHI/AAAAAAAAAv8/n7M5JNS1u_Ypl4LlDkzNVE136rv5CrmwACLcB/s1600/PowerMatrix.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="231" src="https://4.bp.blogspot.com/-mmWEpkpsFRg/WBmwImYHQHI/AAAAAAAAAv8/n7M5JNS1u_Ypl4LlDkzNVE136rv5CrmwACLcB/s400/PowerMatrix.jpg" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Общая схема работы с матрицей доступа</td></tr>
</tbody></table>
<div>
<h2 style="text-align: left;">
Состав PowerMatrix</h2>
<div>
В Матрице пользователей и полномочий размещаются все пользователи службы каталогов (AD) с дополнительной информацией:</div>
<div>
<ul style="text-align: left;">
<li>Общая информация по пользователю</li>
<ul>
<li>Организация, отдел, должность, кабинет, телефон</li>
</ul>
<li>Учетная запись</li>
<ul>
<li>Расположение в службе каталогов (юнит AD)</li>
<li>Время создания УЗ</li>
<li>Время последнего изменения УЗ</li>
<li>Время последнего входа в систему</li>
<li>Время последней неудачной попытки входа в систему</li>
</ul>
<li>Компьютер, на котором работал пользователь</li>
<ul>
<li>Сигнализация если пользователь работал на нескольких устройствах</li>
<li>Время последнего подключения</li>
<li>Указание коммутатора, порта коммутатора, описания порта коммутатора, VLAN</li>
</ul>
<li>DLP: сведения о наличии информации по пользователю в DLP системе</li>
<ul>
<li>Сигнализация если информация в DLP старее чем последний вход пользователя в систему</li>
</ul>
<li>Административные привилегии в домене</li>
<ul>
<li>Доменный администратор</li>
<li>Локальный администратор</li>
</ul>
<li>Права доступа к информационным ресурсам (чтение/запись)</li>
<ul>
<li>Сигнализация о несоответствии установленных в матрице прав реальным правам пользователя, установленным в службе каталогов</li>
</ul>
</ul>
<div>
Итоговая матрица выглядит следующим образом (Excel можно взять <a href="https://yadi.sk/d/aXoZQ0WJxxfQL" target="_blank">тут</a>):</div>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://4.bp.blogspot.com/-S2kLf26eqPo/WBmdndQCFlI/AAAAAAAAAvU/IWK5ZxVv7DsvXsFC6mBteJRDtZ_eDajrgCLcB/s1600/PowerMatrix1.png" imageanchor="1" style="margin-left: auto; margin-right: auto; text-align: center;"><img alt="Общий вид матрицы доступа" border="0" height="80" src="https://4.bp.blogspot.com/-S2kLf26eqPo/WBmdndQCFlI/AAAAAAAAAvU/IWK5ZxVv7DsvXsFC6mBteJRDtZ_eDajrgCLcB/s400/PowerMatrix1.png" title="" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Матрица пользователей и их полномочий, сформированная PowerMatrix</td></tr>
</tbody></table>
</div>
</div>
<div>
Помимо сводной информации в комментариях к полям хранятся дополнительные сведения:</div>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://1.bp.blogspot.com/-HUjKlV-rgi0/WBmdndZ4F4I/AAAAAAAAAvY/UPzHHgnA-eIG4mKMqlhCgwiZJ0Ul7or6wCEw/s1600/PowerMatrix2.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img alt="учет пользователей в матрице доступа" border="0" height="170" src="https://1.bp.blogspot.com/-HUjKlV-rgi0/WBmdndZ4F4I/AAAAAAAAAvY/UPzHHgnA-eIG4mKMqlhCgwiZJ0Ul7or6wCEw/s400/PowerMatrix2.png" title="" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Сведения о пользователе</td></tr>
</tbody></table>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://2.bp.blogspot.com/-UVkyZ0VMx04/WBmdnSN14yI/AAAAAAAAAvc/3oqq9zHQK9ENvACWPMcontZ1uRSOSDZlwCEw/s1600/PowerMatrix3.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img alt="учетные записи пользователей в матрице доступа" border="0" height="149" src="https://2.bp.blogspot.com/-UVkyZ0VMx04/WBmdnSN14yI/AAAAAAAAAvc/3oqq9zHQK9ENvACWPMcontZ1uRSOSDZlwCEw/s320/PowerMatrix3.png" title="" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Сведения об учетной записи пользователя</td></tr>
</tbody></table>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://3.bp.blogspot.com/-ZIQkmI6adP0/WBmdnoTHOII/AAAAAAAAAvo/vRnihLZVc1gMi4390ar61qwC9NiCiD-DQCEw/s1600/PowerMatrix4.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img alt="учет компьютеров пользователей в матрице доступа" border="0" height="168" src="https://3.bp.blogspot.com/-ZIQkmI6adP0/WBmdnoTHOII/AAAAAAAAAvo/vRnihLZVc1gMi4390ar61qwC9NiCiD-DQCEw/s320/PowerMatrix4.png" title="" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Сведения об устройствах, с которых подключался пользователь (используется скрипт описанный <a href="http://spbsecurity.blogspot.ru/2015/11/InfSystemsPlans.html" style="font-size: 12.8px;" target="_blank">ранее</a><span style="font-size: 12.8px;">)</span></td></tr>
</tbody></table>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://4.bp.blogspot.com/-dTHcaRB8iX0/WBmdn2j6m6I/AAAAAAAAAvo/kSXvUaGGZJ8qcz2mUBCw649bCeTElzTiQCEw/s1600/PowerMatrix5.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img alt="права пользователей в матрице доступа" border="0" height="263" src="https://4.bp.blogspot.com/-dTHcaRB8iX0/WBmdn2j6m6I/AAAAAAAAAvo/kSXvUaGGZJ8qcz2mUBCw649bCeTElzTiQCEw/s320/PowerMatrix5.png" title="" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Сведения о правах пользователя, в том числе о несоответствии реальных прав и прав, установленных в Матрице</td></tr>
</tbody></table>
<div style="text-align: justify;">
<h2>
Применение</h2>
В режиме актуализации PowerMatrix обновляет информацию о пользователях и добавляет новых, но не изменяет установленных пользователю прав. В случае выявления несоответствия в правах скрипт отмечает это в матрице. Как следствие, службе ИБ достаточно при согласовании/установке пользователю новых прав и полномочий только внести соответствующие изменения в матрицу. А все несанкционированные изменения в инфраструктуре, прошедшие мимо службы ИБ, становятся видны после очередной отработки скрипта.</div>
<div style="text-align: justify;">
<br /></div>
<div>
Если вы захотите использовать PowerMatrix для развертывания в своей инфраструктуре то исходники можно скачать <a href="https://yadi.sk/d/t9nDF41txxhXB" target="_blank">тут</a></div>
<div>
<br /></div>
<div>
А какими скриптами для автоматизации задач службы информационной безопасности пользуетесь вы?</div>
</div>
Николай Казанцевhttp://www.blogger.com/profile/06360204847185313704noreply@blogger.com5tag:blogger.com,1999:blog-5629533353479039418.post-14712144898198245552016-09-14T07:41:00.001-07:002016-09-14T22:50:18.992-07:00Топ 30 мер по защите коммутационного оборудования<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
<div class="separator" style="clear: both; text-align: center;">
<a href="https://4.bp.blogspot.com/-Zgm5FGIulmc/V9lebU_gmfI/AAAAAAAAAuc/7eTbIS4mlbwC70SkuEOpSvdzefHQcJm8wCPcB/s1600/router%2Bsecurity.jpg" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img alt="Топ 30 мер по защите коммутационного оборудования" border="0" height="187" src="https://4.bp.blogspot.com/-Zgm5FGIulmc/V9lebU_gmfI/AAAAAAAAAuc/7eTbIS4mlbwC70SkuEOpSvdzefHQcJm8wCPcB/s320/router%2Bsecurity.jpg" title="" width="320" /></a></div>
<span id="goog_585032947"></span><span id="goog_585032948"></span>Коммутационное оборудование является одним из ключевых элементов ИТ инфраструктуры и его защита является неотъемлемой составляющей общей системы защиты организации. Настройку коммутационного оборудования осуществляют, преимущественно, службы системного/сетевого администрирования, но задача формирования безопасной конфигурации является компетенцией службы информационной безопасности.</div>
<br />
<div style="text-align: justify;">
На базе имеющегося опыта и ошибок cформировал перечень из 30 мер по защите коммутационного оборудования, включающий угрозы, меры защиты и примеры конфигураций.<br />
<a name='more'></a><br />
Перечень может быть полезен при формировании модели угроз, в качестве чек-листа при проведении аудита защищенности инфраструктуры, а так же как памятка по основным командам настройки (для Cisco IOS).</div>
<br />
<div style="text-align: justify;">
Для удобства разместил перечень в виде таблицы на Google Docs: <a href="https://docs.google.com/spreadsheets/d/1QVYR3DVH2muZgVa_fo24tkJZGKOwVj7zqwkBnaWKgh8/edit?usp=sharing" target="_blank">ССЫЛКА</a>.<br />
<br />
Ниже привожу только выписку в части описания мер защиты</div>
<ol style="text-align: left;">
<li>Использование источников бесперебойного питания; <br />Настройка уведомлений от ИБП о потере питания </li>
<li>Ограничение физического доступа к оборудованию: запираемые помещения или коммутационные шкафы </li>
<li>Сохранение резервных копий конфигураций оборудования </li>
<li>Отключение всех неиспользуемых портов или установка всем свободным портам VLAN "черной дыры" </li>
<li>Включение сложного хеширования паролей </li>
<li>Включение хеширования паролей в файлах конфигураций </li>
<li>Включение пароля на доступ к оборудованию через консольный и AUX порты </li>
<li>Установка минимальной длинны пароля;<br />Установка конечного количества попыток входа и задержки между попытками входа </li>
<li>Включение локальной AAA аутентификации </li>
<li>Включение AAA аутентификации через RADIUS/TACACS+ сервер </li>
<li>Отключение удаленного доступа к неиспользуемым линиям </li>
<li>Выделение административных адресов в отдельный управляющий VLAN;<br />Разрешение доступа к управлению только с конкретных IP адресов </li>
<li>Включение Port security </li>
<li>Включение DHCP snooping </li>
<li>Включение ARP Inspection </li>
<li>Включение IP Source Guard (IPSG) </li>
<li>Отключение CDP на пользовательских портах (везде кроме портов соединяющих коммутационное оборудование) </li>
<li>Отключение telnet, включение SSH </li>
<li>Использование на транковых портах Native VLAN отличного от Native VLAN пользовательских портов </li>
<li>Отключение возможности транковой связи везде кроме портов соединяющих коммутационное оборудование;<br />Отключение Dynamic trunk protocol на транковых портах </li>
<li>Включение Private vlan (PVLAN) на пользовательских портах </li>
<li>Отключение передачи пакетов протоколов динамической маршрутизации на порты не связанные с маршрутизаторами </li>
<li>Использование SNMPv3 с авторизацией </li>
<li>Использование NTPv3 с авторизацией и шифрованием </li>
<li>Включение авторизации для OSPF </li>
<li>Отключение неиспользуемых сервисов </li>
<li>Информирование о юридической ответственности перед началом работы с оборудованием через баннеры </li>
<li>Ограничение прав доступа к оборудованию для непривилегированных пользователей </li>
<li>Включение логирования на syslog сервер </li>
<li>Включение логирования подключения к оборудованию </li>
</ol>
<div style="text-align: justify;">
Как нет предела совершенству так и мой перечень не претендует на исчерпывающую полноту, поэтому если вас появятся предложения по его корректировке, буду признателен.<br />
<a href="https://docs.google.com/spreadsheets/d/1QVYR3DVH2muZgVa_fo24tkJZGKOwVj7zqwkBnaWKgh8/edit?usp=sharing" target="_blank">Таблица в Google Docs</a></div>
</div>
Николай Казанцевhttp://www.blogger.com/profile/06360204847185313704noreply@blogger.com0tag:blogger.com,1999:blog-5629533353479039418.post-7619306444728850572016-03-01T07:34:00.002-08:002016-03-01T07:42:36.362-08:00Тренинг персонала по выявлению фишинговых атак<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
<div class="separator" style="clear: both; text-align: center;">
<a href="https://4.bp.blogspot.com/-5nernWERAuQ/VtVUDJq_ldI/AAAAAAAAAr4/TWYV2SdDEj8/s1600/phishing1.jpg" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" height="320" src="https://4.bp.blogspot.com/-5nernWERAuQ/VtVUDJq_ldI/AAAAAAAAAr4/TWYV2SdDEj8/s320/phishing1.jpg" width="232" /></a></div>
Фишинг - угроза весьма распространенная. Письмом с ссылкой на вредоносный сайт или вредоносное вложение никого не удивишь, а развитие шифровальщиков только добавило масла в огонь.<br />
<br />
Технические меры защиты от фишинга, такие как фильтрация и анализ почтового/веб трафика, ограничение программной среды, запрет запуска вложений - весьма эффективны, но они не могут противостоять новым угрозам и, что более важно, не могут противостоять человеческой <strike>глупости</strike> любознательности и лени. Бывали случаи, когда пользователь, будучи не в состоянии открыть/запустить вредоносное содержимое на рабочем месте пересылал его на свой домашний компьютер и запускал, со всеми вытекающими...</div>
<div style="text-align: left;">
<span style="text-align: justify;">Поэтому, какую бы основательную техническую систему защиты мы не строили, про главное звено во всей цепи - пользователя, и его обучение, забывать не стоит.</span></div>
<div style="text-align: justify;">
Периодические инструктажи и информационные рассылки являются важной составляющей обучения персонала, но, как показывает практика, их эффективность значительно ниже, нежели обучение сотрудников на собственных ошибках.</div>
<div style="text-align: justify;">
<br />
Далее опишу простую систему, позволяющую провести тестирование и тренинг персонала по выявлению фишинговых атак.<br />
<br />
<a name='more'></a></div>
Что будет делать система:<br />
<ol style="text-align: left;">
<li style="text-align: justify;">Рассылать фишинговые письма пользователям;</li>
<li style="text-align: justify;">При нажатии на ссылку в теле письма уведомлять пользователя о его ошибке - направлять на web сайт с обучающей страницей;</li>
<li style="text-align: justify;">Вести статистику по невнимательным пользователям.</li>
</ol>
<h3 style="text-align: left;">
Рассылка писем</h3>
<div style="text-align: justify;">
В результате рассылки всем пользователям приходят сформированные нами фишинговые письма. Например, вот такие:<br />
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://4.bp.blogspot.com/-bdDGtweDn64/VtRf-Ss08fI/AAAAAAAAArY/vVVnU4o_7Qg/s1600/Phishing_mail.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="207" src="https://4.bp.blogspot.com/-bdDGtweDn64/VtRf-Ss08fI/AAAAAAAAArY/vVVnU4o_7Qg/s400/Phishing_mail.png" width="400" /></a></div>
<div style="text-align: justify;">
<br />
Имя пользователя в приветствии берется из имени его почтового ящика. Письмо целенаправленно сделано таким образом, чтобы у пользователя была возможность посчитать его подозрительным. По прошествии нескольких тренировок сложность писем можно повышать.</div>
<div style="text-align: justify;">
<br />
Ссылка, ведущая на фишинговый сайт, вида <i>http://phishingsite-327.com/p/?p=AIvanov@company.com </i>меняется в зависимости от имени пользователя. Таким образом мы передаем на сайт информацию о пользователе и можем вести отчетность.</div>
<div style="text-align: justify;">
<br />
Реализована рассылка PowerShell скриптом, который на входе берет список почтовых ящиков организации. Код <a href="https://yadi.sk/d/BPjbd59_pn3PE" target="_blank">тут</a>.<br />
<br /></div>
<h3 style="text-align: left;">
Создание обучающей страницы</h3>
<div style="text-align: justify;">
Наша задача состоит не в том, чтобы обвинить пользователя в нарушении, а в том, чтобы объяснить ему в чем состоит угроза фишинговых атак, показать где он допустил ошибки и дать простое руководство к действию на будущее. Поэтому информационная страница содержит подробный разбор его действий:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://3.bp.blogspot.com/-crXponY9N3c/VtVW5mmeNMI/AAAAAAAAAsE/LMwHh-rvuH8/s1600/Screenshot_1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="352" src="https://3.bp.blogspot.com/-crXponY9N3c/VtVW5mmeNMI/AAAAAAAAAsE/LMwHh-rvuH8/s400/Screenshot_1.png" width="400" /></a></div>
</div>
<br />
<div style="text-align: justify;">
Обучающая страница размещается на Web сервере организации, включает PHP код для ведения статистики.</div>
<div style="text-align: justify;">
<span style="text-align: left;"><br /></span>
<span style="text-align: left;">На локальных DNS серверах организации настраиваем CNAME запись для нашего web сервера таким образом, чтобы ссылка была более похожа на вредоносную, например: http://phishingsite-327.com/</span></div>
<div style="text-align: left;">
<div style="text-align: justify;">
<br />
В случае, если мы хотим контролировать факт открытия вредоносной ссылки с не рабочих мест (например, когда сотрудник пересылает письмо на свою личную почту), то придется использовать реальный адрес в сети Интернет. Или мониторить факт пересылки письма на внешний адрес через имеющиеся средства защиты и администрирования. </div>
</div>
<div style="text-align: left;">
<br />
Реализация: PHP. Код <span style="text-align: justify;"><a href="https://yadi.sk/d/BPjbd59_pn3PE" target="_blank">тут</a>.</span><br />
<span style="text-align: justify;"><br /></span>
<br />
<h3 style="text-align: left;">
Отчетность</h3>
</div>
<div style="text-align: justify;">
По прошествии времени анализируем отчет с списком пользователей, прошедших по фишинговой ссылке. В нашем случае PHP скрипт сохраняет в csv-файл информацию о времени, адресе электронной почты и ip-адресе узла, с которого был осуществлен заход на сайт.</div>
<div style="text-align: justify;">
<br />
Отчет помогает оценить уровень подготовки персонала, выявить слабые звенья. А при проведении периодических проверок (ежемесячно/ежеквартально) можно:</div>
<ol style="text-align: left;">
<li style="text-align: justify;"><span class="Apple-tab-span" style="white-space: pre;"> </span>Построить кривую подготовленности персонала к фишинговым атакам, использовать ее как один из количественных показателей защищенности инфраструктуры;</li>
<li style="text-align: justify;"><span class="Apple-tab-span" style="white-space: pre;"> </span>Выявить пользователей, регулярно совершающих одни и те же ошибки, с целью применения к ним иных мер повышения образованности.</li>
</ol>
<h3 style="text-align: left;">
Опыт внедрения</h3>
<div style="text-align: justify;">
<ul>
<li>Подготовка ИТ персонала<br />Перед проведением рассылки следует предупредить ИТ персонал и объяснить, как следует реагировать на обращения пользователей о странном письме. Но перед этим следует провести тестирование на них самих. В случае невнимательности ИТ персонала не стоит ограничиваться рекомендациями, так как в будущем подобная халатность может быть крайне плачевна для инфраструктуры. </li>
<li>Подготовка руководства<br />Руководство организации о планирующемся тестировании следует предупредить. Или даже оформить проведение тестирования внутренним актом. Пользователь, в зависимости от его должности и личных качеств при осознании того, что он нарушил требования ИБ, что он "был введен в заблуждение" может реагировать весьма непредсказуемо. Аргументы в пользу службы ИБ в виде документов и поддержки руководства лишними не будут.</li>
<li>Выбор цели<br />При массовой рассылке по всем сотрудникам сарафанное радио значительно подпортит объективность конечной оценки. Лучше проводить тестирование частями, не забывая менять текст письма.</li>
</ul>
<br />
В первый раз результаты тренинга могут весьма удивить и даже расстроить, ведь они предоставляют более объективную информацию о подготовленности персонала нежели подписи в Журналах инструктажа.<br />
Эффективность подобной меры весьма высока и проведение тренингов на регулярной основе позволяет существенно повысить подготовленность и бдительность персонала.</div>
</div>
Николай Казанцевhttp://www.blogger.com/profile/06360204847185313704noreply@blogger.com0tag:blogger.com,1999:blog-5629533353479039418.post-69798794805838216222016-01-24T23:56:00.001-08:002016-01-24T23:58:24.426-08:00Утечка через автономные файлы<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
</div>
<div style="text-align: justify;">
В инфраструктуре Windows возможно при работе с сетевыми ресурсами делать их доступными <a href="http://windows.microsoft.com/ru-ru/windows/understanding-offline-files" target="_blank">автономно</a>. Это удобно при частых обрывах сети или медленных каналах. Но что это дает с точки зрения ИБ?<br />
<br /></div>
<div style="text-align: justify;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="http://1.bp.blogspot.com/-BkK8XTxqXLQ/VqXT_4TsnBI/AAAAAAAAArA/TkPo3bm9qyE/s1600/Offline-Files-Error.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em; text-align: center;"><img border="0" height="150" src="http://1.bp.blogspot.com/-BkK8XTxqXLQ/VqXT_4TsnBI/AAAAAAAAArA/TkPo3bm9qyE/s400/Offline-Files-Error.jpg" width="400" /></a></div>
<a name='more'></a><br />
<div style="text-align: justify;">
Предположим, у нас есть защищаемый информационный ресурс, который хранится в сети и доступен в виде файловой шары. Сотрудникам запрещено копировать эти файлы на локальные компьютеры, а работа с ними всячески контролируется техническими средствами защиты (DLP, анализ обращения к файлам, поиск нелегальных копий и т.д.).</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Пришел в голову такой канал утечки: </div>
<div style="text-align: justify;">
</div>
<ol>
<li>Пользователь отмечает защищаемую сетевую папку как "Доступную автономно";</li>
<li>ОС копирует защищаемые файлы на компьютер пользователя в хранилище автономных файлов;</li>
<li>При получении физического доступа к компьютеру (жесткому диску) файлы сливаются во вне.</li>
</ol>
<br />
<div style="text-align: justify;">
Автономные файлы в ОС хранятся в системном каталоге <i>\Windows\CSC</i>. Доменному пользователю по умолчанию туда не попасть, но никакого шифрования автономных файлов не производится и, получив прямой доступ к жесткому диску (например, с Live CD), можно получить доступ и к автономным файлам.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Казалось бы, это то же самое что и копирование файлов на локальный компьютер. Но есть несколько различий:</div>
<div style="text-align: justify;">
</div>
<ul>
<li style="text-align: justify;">копирование - это осознанное действие со стороны пользователя, за частую нарушающее установленные в организации политики ИБ; </li>
<li style="text-align: justify;">появление защищаемых файлов на компьютере можно выявить различными техническими средствами (DLP, поиск нелегальных копий). Появление же автономной копии файлов в <i>Windows\CSC\</i> техническое средство защиты по умолчанию не отследит. </li>
</ul>
<br />
<div style="text-align: justify;">
Возможность реализации описанной угрозы упирается в получение прямого доступа к компьютеру, а актуальна она будет если в организации запрещено хранить защищаемую информацию локально. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Мера защиты по данному вектору напрашивается сама собой: </div>
<blockquote class="tr_bq" style="text-align: justify;">
<b>Отключение "автономного режима" для сетевых папок с защищаемыми информационными ресурсами</b></blockquote>
<div style="text-align: justify;">
В документах регуляторов подобной меры не встретил.</div>
<div style="text-align: justify;">
Если нет потребности в автономной работе пользователей, внедрение описанной меры не повредит, тем более что стоимость ее реализации практически нулевая.</div>
</div>
Николай Казанцевhttp://www.blogger.com/profile/06360204847185313704noreply@blogger.com0tag:blogger.com,1999:blog-5629533353479039418.post-79435809460540109872016-01-20T00:25:00.000-08:002016-01-20T00:25:14.810-08:00О роли Службы ИБ на примере водопровода<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
<a href="http://3.bp.blogspot.com/-W8tUPkGr0ks/Vp85JQAGoPI/AAAAAAAAAqo/m3eCMZ6RvAo/s1600/mednye-truby%255B1%255D.jpg" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em; text-align: center;"><img border="0" height="150" src="http://3.bp.blogspot.com/-W8tUPkGr0ks/Vp85JQAGoPI/AAAAAAAAAqo/m3eCMZ6RvAo/s200/mednye-truby%255B1%255D.jpg" width="200" /></a>Пришла в голову такая вот не хитрая аналогия по мироустройству и месту службы информационной безопасности в нем: сравнить компанию с водопроводом (или нефтепроводом, так злободневней).</div>
<div style="text-align: left;">
</div>
<a name='more'></a><br />
<div style="text-align: left;">
При такой аналогии получается, что:</div>
<ul>
<li style="text-align: justify;">Задача бизнеса - производить воду и определять куда ее нужно доставить,</li>
<li style="text-align: justify;">Задача службы ИТ - проложить трубопровод по направлению, определенному бизнесом, и поддерживать его работу (обеспечение доступности)</li>
<li style="text-align: justify;">Задача службы ИБ - замазать все щели, чтобы по дороге ничего не вытекало (нарушение конфиденциальности) и не попадало внутрь (нарушение целостности).</li>
</ul>
<div style="text-align: justify;">
Именно такая последовательность. Иногда, службе ИБ удаётся договориться с "вышестоящим" уровнем (ИТ), и тогда получается использовать трубы понадежней, или даже направление/форму трубопровода скорректировать, но не более.</div>
<br />
<div style="text-align: justify;">
Службе же ИТ необходимо постоянно следить за службой ИБ, чтобы та, в процессе замазывания щелей, не налепила столько замазки, что в трубе образовались заторы.</div>
<div style="text-align: justify;">
Не очень приятно осознавать "замазывающую" роль ИБ, лучше перефразировать.</div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div style="text-align: justify;">
На эту тему (не к ИБ а более к ИТ) хорошо описано в книге "Блеск и нищета информационных технологий. Почему ИТ не являются конкурентным преимуществом" Николаса Дж. Карра (в свободном доступе <a href="http://www.etextlib.ru/Book/Details/2623" target="_blank">в тексте</a> и аудио)</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-snddURD1XRo/Vp85BbATgMI/AAAAAAAAAqg/oUlTq8ifldw/s1600/2623_cover%255B1%255D.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em; text-align: left;"><img border="0" height="320" src="http://4.bp.blogspot.com/-snddURD1XRo/Vp85BbATgMI/AAAAAAAAAqg/oUlTq8ifldw/s320/2623_cover%255B1%255D.png" width="203" /></a></div>
<div style="text-align: justify;">
</div>
</div>
Николай Казанцевhttp://www.blogger.com/profile/06360204847185313704noreply@blogger.com0tag:blogger.com,1999:blog-5629533353479039418.post-10243432013621592162016-01-11T04:27:00.000-08:002016-01-11T04:27:29.903-08:00О "вероятностной" безопасности в аэропортах<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="separator" style="clear: both; text-align: left;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-HkrPyGbGouE/VpOdYwUSVJI/AAAAAAAAAqA/JBUSq2dmHbY/s1600/air.png" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" height="120" src="http://4.bp.blogspot.com/-HkrPyGbGouE/VpOdYwUSVJI/AAAAAAAAAqA/JBUSq2dmHbY/s200/air.png" width="200" /></a></div>
<div style="text-align: justify;">
Путешествуя на прошедших праздниках пришлось пройти через предполетные досмотры в аэропортах сразу нескольких стран, благодаря чему наглядно удалось сравнить их подходы к системам безопасности.</div>
<div style="text-align: justify;">
Прежде всего, речь идет о процессе досмотра пассажиров и багажа (ручной клади).</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
</div>
<a name='more'></a><div style="text-align: justify;">
Обнаружил для себя, что в различных странах требования при проверке значительно различаются:</div>
<ul style="text-align: left;">
<li style="text-align: justify;">При проверке ручной клади технику требуют доставать из сумок, но иногда это требование относится только к ноутбукам и планшетам. Получается, что фото аппараты и зарядные устройства угрозы не представляют.</li>
<li style="text-align: justify;">В части аэропортов требуют включать ноутбуки и планшеты (видимо для того, чтобы удостовериться что это действительно компьютер, а не замаскированное под него устройство). При этом не требуют включать телефоны, фото аппараты и иную технику. Почему? Значит, маскировка запрещенного устройства под ноутбук запрещена и проверяется при таможенном контроле, а маскировка под телефон или фото аппарат допустима?</li>
<li style="text-align: justify;">В части аэропортов требуют предъявлять к проверке так же источники питания и зарядные устройства и даже включают их (если есть на что нажать).</li>
<li style="text-align: justify;">В одном из российских аэропортов, когда на мой вопрос надо ли доставать из сумки технику был дан предельно понятный ответ - "как хотите".</li>
</ul>
<br />
<div style="text-align: justify;">
Поразмыслив над причиной столь различного подхода к таможенному контролю в различных государствах (и даже в рамках одной страны) пришел к выводу, что процесс предполетного досмотра не является мерой защиты, гарантирующей исключение попадания неразрешенных устройств на борт самолета. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Цель этой меры - создание вероятности (пусть даже небольшой) предотвращения нарушения, которая, в свою очередь, значительно снижает вероятность совершения нарушения.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Если бы предполетного досмотра не было вовсе нарушитель бы точно знал что он может пронести на борт запрещенное устройство. Но, при появлении хоть какого то контроля нарушитель понимает что его запрещенное устройство могут выявить, а могут и не выявить - но это уже не так важно. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Разница для нарушителя между вероятностью предотвращения нарушения в 0% (при отсутствии досмотра) и 10% (при слабом досмотре) значительно больше, нежели разница между 10% и 90% (при качественном досмотре).</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
К подобным эффективным мерам защиты, вводящим "вероятность" но не гарантирующим результат, можно отнести и надпись на заборе "осторожно, злая собака".</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="http://3.bp.blogspot.com/-cvqApi-iaaM/VpOfbiK8D9I/AAAAAAAAAqM/OHOwK7bH98M/s1600/dobegu2%252520white%255B1%255D.gif" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="215" src="http://3.bp.blogspot.com/-cvqApi-iaaM/VpOfbiK8D9I/AAAAAAAAAqM/OHOwK7bH98M/s320/dobegu2%252520white%255B1%255D.gif" width="320" /></a></div>
Перенимая подобный подход для обеспечения информационной безопасности, в голову приходит несколько мер:<br />
<br />
<ul style="text-align: left;">
<li style="text-align: justify;">Объявление сотрудникам о том, что все их действия фиксируются системами защиты и контролируются службой безопасности;</li>
<li style="text-align: justify;">Объявление в открытых источниках о том, что в организации функционируют различные системы защиты, в том числе обнаружения (без уточнения производителей).</li>
</ul>
<br />
<div style="text-align: justify;">
Безопаснику-перфекционисту подобный подход будет трудно принять. Но если это эффективно в аэропортах, то почему бы не попробовать в корпоративных информационных системах.</div>
<div>
<br /></div>
</div>
Николай Казанцевhttp://www.blogger.com/profile/06360204847185313704noreply@blogger.com1tag:blogger.com,1999:blog-5629533353479039418.post-6979300345424131042015-11-28T03:30:00.000-08:002015-11-28T03:47:37.778-08:00Автоматизация ведения поэтажных планов АС<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
<div class="separator" style="clear: both; text-align: left;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="http://1.bp.blogspot.com/-JdW0ENwEOks/VlmQ9Jcef5I/AAAAAAAAAoc/VDdZ80x_0UI/s1600/local_network-580x435.jpg" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" height="150" src="http://1.bp.blogspot.com/-JdW0ENwEOks/VlmQ9Jcef5I/AAAAAAAAAoc/VDdZ80x_0UI/s200/local_network-580x435.jpg" width="200" /></a></div>
Можете ли вы ответить на вопрос о инфраструктуре вашей организации - где находятся ваши компьютеры? А конкретнее, в каком помещении какие узлы расположены прямо сейчас?</div>
<div style="text-align: justify;">
<ul>
<li>Безопасник, в его бумажном воплощении, ответит - надо открыть технический паспорт и поэтажные планы расположения ОТСС/ВТСС, там все указано.</li>
<li>Администратор ответит - надо подключиться к коммутационному оборудованию и посмотреть ARP/MAC таблицы, еще можно посмотреть AD/DHCP и просканировать сеть.</li>
</ul>
</div>
<div style="text-align: justify;">
Оба варианта имеют свои недостатки - бумага устаревает быстрее чем это может показаться, а работать на прямую с инфраструктурой не удобно.</div>
<div style="text-align: justify;">
Далее расскажу о том, как все знать о своей инфраструктуре и ничего не делать, а конкретнее - об опыте автоматизации ведения поэтажных планов АС.</div>
<a name='more'></a><div style="text-align: justify;">
<br />
Проведя несколько раз актуализацию поэтажных планов (хорошо знакомая процедура всем операторам аттестованных АС с большими техническими паспортами) мне стало понятно, что проблему нужно решать в другой плоскости. Выпускать документацию, устаревающую еще на этапе ее согласования надоело, а регулярно корректировать электронные схемы не прельщало.</div>
<br />
<div style="text-align: justify;">
Сформировалась задача: создать электронные поэтажные планы расположения узлов сети по помещениям и не тратить в последующем время на их корректировку (как всегда, лень - двигатель автоматизации). Результат же нужен был такой, чтобы и для ежедневной работы был полезен, и вопрос актуализации технического паспорта закрыл.</div>
<div style="text-align: justify;">
<br />
Первоначально взор упал на различные системы инвентаризации, способные строить карты сети, но выявилась проблема - их функционирование ограничивается сетевым уровнем и без ручного распределения узлов по поэтажным планам не обойтись. Этот путь был отвергнут и в результате появилось решение, совмещающее бесплатное ПО и внушительный скриптовый напильник. Теперь в нашей инфраструктуре есть всегда актуальные поэтажные планы расположения узлов которые можно не только распечатать и показать, но с которыми удобно работать.</div>
<div style="text-align: justify;">
<br />
Далее опишу основные компоненты системы и их настройки. Решение подойдет и вашей инфраструктуре, если она построена на проводной ЛВС.<br />
<br /></div>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="http://2.bp.blogspot.com/-JYptbT-l7N4/VlhwuxKy4NI/AAAAAAAAAoE/chV_xs9j16k/s1600/plans_Algorytm.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="232" src="http://2.bp.blogspot.com/-JYptbT-l7N4/VlhwuxKy4NI/AAAAAAAAAoE/chV_xs9j16k/s400/plans_Algorytm.png" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Общая схема работы по созданию поэтажных планов</td></tr>
</tbody></table>
<br />
<h4 style="text-align: justify;">
1. Определяемся с помещениями</h4>
<div style="text-align: justify;">
Как понять, в каком помещении фактически находится узел? Только по сетевой розетке, в которую он подключен. Распределение портов коммутаторов по сетевым розеткам кабинетов обычно отражается в рабочей документации на СКС. Но можно вести учет напрямую на коммутаторах, в поле "Описание" для каждого порта. В нашем случае описание портов на коммутаторе представляет собой что то вроде "<i>125-lalala</i>" и включает как номер помещения, так и имя или описание узла, подключенного к порту. Для нашей задачи интересен, прежде всего, номер помещения. Учитывая, что перекоммутация происходит достаточно редко и всегда с участием сетевого администратора, поддерживать такие таблицы достаточно легко.</div>
<br />
<h4 style="text-align: justify;">
2. Собираем исходные данные</h4>
<div style="text-align: justify;">
В качестве источников выступили:</div>
<div style="text-align: justify;">
</div>
<ul>
<li>коммутаторы: собираем информацию о том, какие MAC адреса на каких портах подключены, а так же VLAN и описания этих портов (в описаниях указаны номера кабинетов);</li>
<li>DHCP сервер: для каждого MAC-адреса собираем его FQDN имя.</li>
</ul>
<span style="text-align: justify;">Данные собираются скриптом по расписанию и сохраняются в результирующий файл следующего вида: </span><i style="text-align: justify;">Имя узла | Коммутатор | Порт | VLAN | Описание порта</i><br />
<div style="text-align: justify;">
Уже на этом этапе мы получили весьма полезную информацию которая позволяет провести инвентаризацию сети.</div>
<br />
<h4 style="text-align: justify;">
3. Строим основу для поэтажных планов</h4>
<div style="text-align: justify;">
Для отображения поэтажных планов была выбрана бесплатная система мониторинга <a href="http://www.zabbix.com/" target="_blank">Zabbix</a>. Ее настройка свелась к следующим этапам:</div>
<div style="text-align: justify;">
</div>
<ol>
<li><span class="Apple-tab-span" style="white-space: pre;"> </span>В Zabbix были подгружены поэтажные планы организации, созданы "карты сети" для каждого этажа;</li>
<li><span class="Apple-tab-span" style="white-space: pre;"> </span>Созданы "группы узлов" соответствующие номерам кабинетов;</li>
<li><span class="Apple-tab-span" style="white-space: pre;"> </span>На картах сети были размещены объекты "элементы группы узлов сети" в соответствии с расположением кабинетов;</li>
<li><span class="Apple-tab-span" style="white-space: pre;"> </span>Настроено соответствие иконок отображения узлов в зависимости от параметров узла (параметром выступал номер VLAN); </li>
</ol>
<span style="text-align: justify;">Теперь, при добавлении узлов в Zabbix и распределении их по группам, они отображаются на соответствующих поэтажных планах.</span><br />
<br />
<h4 style="text-align: justify;">
4. Экспортируем узлы в Zabbix</h4>
<div style="text-align: justify;">
Скрипт для каждой записи из созданного файла с узлами создает соответствующие узлы в Zabbix, размещает их в группах в зависимости от их описания (в описании содержатся номера кабинетов) и устанавливает параметр, отвечающий за отображение (VLAN).</div>
<div style="text-align: justify;">
В результате получаем такие поэтажные планы:</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="http://1.bp.blogspot.com/-BteDzyvG4nY/VlhwxJq76HI/AAAAAAAAAoI/esLFGCgcgCk/s1600/Plans.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="266" src="http://1.bp.blogspot.com/-BteDzyvG4nY/VlhwxJq76HI/AAAAAAAAAoI/esLFGCgcgCk/s400/Plans.png" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Пример поэтажного плана</td></tr>
</tbody></table>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Иконки узлов отличаются в зависимости от VLAN соответствующего порта коммутатора. Если в инфраструктуре различные группы узлов выделены в свои виртуальные подсети (например: сервера, принтеры, критичные подразделения, администраторы и т.д.) получается весьма наглядное отображение. Подробнее о матрице VLAN писал в <a href="http://spbsecurity.blogspot.ru/2015/03/vlan-access-matrix.html" target="_blank">этой статье</a>.</div>
<br />
<h4 style="text-align: justify;">
5. Обрабатываем новые и старые узлы</h4>
<div style="text-align: justify;">
Если бы набор узлов в Zabbix соответствовал собранной с коммутаторов информации, мы бы увидели на планах узлы, доступные на текущий момент. Поэтому скрипт, экспортирующий узлы в Zabbix, с уже имеющимися узлами (собранными ранее) ничего не делает. Сам Zabbix позволяет их удалять при достижении указанных условий (например, если узел не был доступен более месяца).</div>
<br />
<h3 style="text-align: justify;">
В результате</h3>
<div style="text-align: justify;">
На создание решения пришлось потратить немало времени, но в итоге мы получили:</div>
<div style="text-align: justify;">
</div>
<div style="text-align: justify;">
</div>
<ol>
<li>Всегда актуальные схемы поэтажного расположения узлов сети, которые можно в течение 10 минут добавить в Технических паспорт (при ежегодном контроле эффективности или аттестации);</li>
<li>Удобный инструмент для визуального анализа инфраструктуры на "физическом" уровне.</li>
</ol>
<div style="text-align: justify;">
Помимо эстетической красоты от подобного отображения есть и практическая польза, так как в процессе визуального осмотра карт легко обнаружить:</div>
<div style="text-align: justify;">
</div>
<ul>
<li>лишние узлы в помещениях;</li>
<li>что находится рядом с интересующим нас узлом;</li>
<li>подозрительное/некорректное распределение узлов по VLAN (например, если в помещениях отдела продаж появляется узел, входящий в VLAN бухгалтерии, или в VLAN принтеров окажется компьютер пользователя);</li>
<li>факты подключения к сети несанкционированных устройств (даже если его подключали на 10 минут, он появится на схемах и будет там оставаться в течение месяца).</li>
</ul>
<span style="text-align: justify;">Кроме того, нам становится доступен весь функционал Zabbix по работе с узлами. В нашем случае Zabbix проверяет доступность узлов и выделяет на поэтажном плане недоступные на текущий момент узлы . Но если добавить установку на узлы агентов или сбор информации по SNMP то появляются весьма мощные возможности.</span><br />
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Возможно, подобный подход будет актуален и в вашей инфраструктуре. А если нет, то как задачу актуализации поэтажных планов АС решаете вы?</div>
</div>Николай Казанцевhttp://www.blogger.com/profile/06360204847185313704noreply@blogger.com1tag:blogger.com,1999:blog-5629533353479039418.post-37663336668990344962015-10-19T04:38:00.000-07:002015-10-19T04:44:59.037-07:00Обзор систем контроля прав доступа на сетевые файловые ресурсы<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="separator" style="clear: both; text-align: left;">
</div>
<div style="text-align: justify;">
<div class="separator" style="clear: both; text-align: center;">
<a href="http://1.bp.blogspot.com/-Swy08UMxIlM/ViTR8_lFwXI/AAAAAAAAAm8/hWFs8ED8f6k/s1600/FolderRules.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img alt="Обзор систем контроля прав доступа на сетевые файловые ресурсы" border="0" height="200" src="http://1.bp.blogspot.com/-Swy08UMxIlM/ViTR8_lFwXI/AAAAAAAAAm8/hWFs8ED8f6k/s200/FolderRules.png" title="" width="177" /></a></div>
Сетевые файловые ресурсы (они же <i>сетевые папки</i> или <i>шары</i>) во многих организациях занимают важную роль. Часто, ключевые информационные процессы организации проходят именно через них.</div>
<div style="text-align: justify;">
Не удивительно, что контроль доступа к информационным ресурсам является одной из основ при построении системы информационной безопасности. А что с контролем прав доступа к сетевым файловым ресурсам? Знаете ли вы точно, кто и к каким ресурсам имеет доступ? Предположим, что да, был проведен аудит и, возможно, составлена матрица доступа к информационным ресурсам. Но что изменилось с момента последнего аудита? На этот вопрос порой ответить сложнее. </div>
<div style="text-align: justify;">
Далее расскажу о системах, позволяющих автоматизированно контролировать изменения прав доступа на сетевые файловые ресурсы.</div>
<div style="text-align: justify;">
<a name='more'></a><br /></div>
<div style="text-align: justify;">
<b>Задача: </b>Проведение инвентаризации прав доступа на сетевые папки и последующий автоматизированный контроль изменений прав доступа к ним.</div>
<div style="text-align: justify;">
<br />
Прежде, давайте рассмотрим подходы, возможные при решении поставленной задачи:</div>
<div style="text-align: justify;">
<ol>
<li>Установка на файловый сервер программного агента, перехватывающего все файловые операции;</li>
<li>Включение аудита доступа к объектам на файловом сервере и последующий разбор логов;</li>
<li>Сканирование сетевых папок с целью выявления изменений прав доступа к ним.</li>
</ol>
</div>
<div style="text-align: justify;">
Далее примеры программ, в зависимости от применяемого подхода:</div>
<div style="text-align: justify;">
<ol>
<li><a href="http://2.bp.blogspot.com/-zHrZgiAnfno/ViTUXoFKnvI/AAAAAAAAAnI/syVbxXXHSIs/s1600/datAdvantage_Visualization.jpg" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img alt="Аудит доступа к сетевым папкам через Varonis" border="0" height="135" src="http://2.bp.blogspot.com/-zHrZgiAnfno/ViTUXoFKnvI/AAAAAAAAAnI/syVbxXXHSIs/s200/datAdvantage_Visualization.jpg" title="" width="200" /></a>Наиболее основательным примером ПО с устанавливаемой агентской частью на файловых серверах может служить <a href="http://www.varonis.com/products/datadvantage/" target="_blank">Varonis DataAdvantage</a>. Это ПО, помимо множества иных функций, позволяет в наглядном виде получить списки прав доступа и выявлять изменения прав в реальном времени. Существенным камнем преткновения перед внедрением послужит стоимость продукта. Хотя, если стоит задача проведения разовой инвентаризации активов, можно использовать демо-версию с триальным периодом.</li>
<li><a href="http://3.bp.blogspot.com/-QShn031rCMc/ViTUuuqWDzI/AAAAAAAAAnQ/P2HrmFGsXOU/s1600/netwrix.png" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img alt="Аудит прав к сетевым папкам через NetWrix" border="0" height="128" src="http://3.bp.blogspot.com/-QShn031rCMc/ViTUuuqWDzI/AAAAAAAAAnQ/P2HrmFGsXOU/s200/netwrix.png" title="" width="200" /></a>Для реализации подхода, основанного на разборе логов аудита доступа к объектам на файловых серверах можно применять различные SEM/SIEM системы. Например, <a href="http://www.netwrix.com/file_server_auditing.html" target="_blank">Netwrix Auditor for File Servers</a>. Недостатком подхода может послужить большой объем логов с файловых серверов.</li>
<li><a href="http://1.bp.blogspot.com/-BiThLN0dMvI/ViTVUUpzdCI/AAAAAAAAAnY/lGIAPrGomFI/s1600/revizor.png" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" height="153" src="http://1.bp.blogspot.com/-BiThLN0dMvI/ViTVUUpzdCI/AAAAAAAAAnY/lGIAPrGomFI/s200/revizor.png" width="200" /></a>Примером ПО, выявляющим права доступа и их изменения путем сканирование сетевых папок, может служить <a href="http://www.cbi-info.ru/groups/page-352.htm" target="_blank">Ревизор 1 ХР</a>. Продукт сертифицирован ФСТЭК России и предназначен, прежде всего, для объектов, на которых ведется обработка государственной тайны. От сюда, скорее всего, и вытекают основные минусы продукта, выраженные в неавтоматизированности работы и невозможности оперировать большими объемами данных.</li>
</ol>
Конечно, это не все продукты, позволяющие решать задачу аудита изменений на сетевые файловые ресурсы, описал только те, с которыми удалось поработать.<br />
А как указанную задачу решаете Вы?</div>
</div>
Николай Казанцевhttp://www.blogger.com/profile/06360204847185313704noreply@blogger.com1tag:blogger.com,1999:blog-5629533353479039418.post-73352737158928416452015-10-13T03:11:00.001-07:002015-10-13T03:13:40.841-07:00ФЗ-242 и уведомление Роскомнадзора<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;">
<img align="left" src="http://www.ansar.ru/uploads/imagesb/2015/04/82e907b1.jpg" height="133" width="200" /></div>
<div style="text-align: justify;">
Принято считать, что <a href="https://www.consultant.ru/document/cons_doc_LAW_165838/" target="_blank">ФЗ-242</a> затрагивает, прежде всего, операторов, базы данных которых расположены за границей Российской Федерации. Так ли это? Как показывает практика проверок Роскомнадзора - изменения затрагивают всех операторов без исключения. </div>
<a name='more'></a>
<br />
<div style="text-align: justify;">
ФЗ-242 расширяет 22 статью <a href="http://www.consultant.ru/document/cons_doc_LAW_61801/" target="_blank">152-ФЗ</a>, регламентирующую направление уведомлений об обработке персональных данных в Роскоменадзор. Теперь уведомление должно содержать <i>сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации</i>. И не важно, расположена эта база на территории страны или за ее пределами.</div>
<br />
<div style="text-align: justify;">
Все бы хорошо, но (в соответствии с п. 7 Статьи 22 152-ФЗ), в случае изменения сведений, содержащихся в уведомлении, оператор обязан уведомить уполномоченный орган в течение десяти рабочих дней с даты возникновения таких изменений.</div>
<br />
<div style="text-align: justify;">
Изменение сведений, содержащихся в уведомлении, наступило для всех операторов 01.09.2015 с вступлением в силу ФЗ-242. Значит, до 10 сентября все операторы должны были направить уведомление (письма о внесении изменений в реестр операторов) в Роскомнадзор с указанием места расположения своих баз данных.</div>
<br />
<div style="text-align: justify;">
Это можно было бы посчитать юридической неточностью, не обязывающей операторов на осуществление каких либо активных действий, если бы не одно но - Роскомнадзор при проведении проверок рассматривает отсутствие такого уведомления как <b>нарушение</b>.</div>
<br />
<div style="text-align: justify;">
Интересным является и тот факт, что в <a href="http://rkn.gov.ru/personal-data/forms/p333/" target="_blank">электронной форме </a>Уведомления об обработке, размещенного на Портале ПДн Роскомнадзора, соответствующие поля о месте расположения баз данных еще не появились.</div>
<br /></div>Николай Казанцевhttp://www.blogger.com/profile/06360204847185313704noreply@blogger.com0tag:blogger.com,1999:blog-5629533353479039418.post-10091562427599481102015-06-22T07:41:00.000-07:002015-06-22T07:43:53.588-07:00Ментальные карты и теги при подготовке документов<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
<div class="separator" style="clear: both; text-align: center;">
<a href="http://2.bp.blogspot.com/-9O7-g6RMY3o/VYgdr0GJVkI/AAAAAAAAAkg/xa3M6bECDvs/s1600/about%255B1%255D.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img alt="Ментальные карты и теги при подготовке документов" border="0" height="200" src="http://2.bp.blogspot.com/-9O7-g6RMY3o/VYgdr0GJVkI/AAAAAAAAAkg/xa3M6bECDvs/s200/about%255B1%255D.jpg" title="" width="156" /></a></div>
Когда готовится объемный документ, например руководство по защите информации или детальная политика информационной безопасности, хочется уместить в минимум объема максимум смысла и при этом иметь возможность оперативно ориентироваться в тексте документа.</div>
<div style="text-align: justify;">
При подготовке очередного такого многостраничного монстра применил подход, основанный на использовании ментальных карт и тегов, о котором и расскажу.</div>
<br />
<a name='more'></a><div>
Описание возможностей ментальных карт смежная тема и ее затрагивать не буду.</div>
<div style="text-align: justify;">
В описываемом примере используется MindManager, но возможно есть и другие продукты, работать в которых с ментальными картами так же удобно.</div>
<div>
<br />
В создании документа через ментальную карту есть следующие плюсы:</div>
<div>
<ol style="text-align: left;">
<li style="text-align: justify;">За счет использования карты четко видна структура документа, можно легко переносить блоки текста между разделами.</li>
<li>Не нужные в настоящий момент блоки текста можно скрывать (сворачивать).</li>
<li>Между блоками текста можно устанавливать связи (Relationship).</li>
<li>Можно использовать теги.</li>
</ol>
</div>
<div style="text-align: justify;">
Из недостатков следует отметить необходимость перед печатью преобразовывать карту в офисный документ. Для этого можно использовать меню экспорт документа и шаблон. Вот <a href="https://yadi.sk/i/6VBBvR49hQ8BT" rel="nofollow" target="_blank">тут</a> можно скачать уже готовый шаблон для экспорта документов в Word (TimesNewRoman, 12 pt).</div>
<div>
<br /></div>
<div style="text-align: justify;">
Использование тегов при подготовке документов - самая интересная из возможностей ментальных карт. Например, можно использовать такие группы тегов:</div>
<br />
<div>
<div style="text-align: left;">
<b style="text-align: justify;">Тег <i>Ответственность</i></b><span style="text-align: justify;"> - определяет пользователя (группу пользователей) ответственных за исполнение пункта документа.</span></div>
<div style="text-align: justify;">
Предварительно следует нормативно распределить ответственных, например, документом <i>Перечень уполномоченных администраторов и лиц, обеспечивающих функционирование АС</i>. В описываемых ниже примерах распределение ролей следующее:</div>
<br />
<ul style="text-align: left;"><a href="http://1.bp.blogspot.com/-rvVAj47746U/VYf_xvFVPFI/AAAAAAAAAjw/Uz0PDcke8gE/s1600/rules.PNG" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" src="http://1.bp.blogspot.com/-rvVAj47746U/VYf_xvFVPFI/AAAAAAAAAjw/Uz0PDcke8gE/s1600/rules.PNG" /></a>
<li>Администратор прикладной системы (АПС);</li>
<li>Администратор по обеспечению безопасности информации (АБИ);</li>
<li>Служба информационной безопасности (СИБ);</li>
<li>Служба системного администрирования (ССА);</li>
<li>Служба технической поддержки (СТП);</li>
</ul>
<br />
<div style="text-align: justify;">
В результате такого тегирования можно осуществлять удобное перемещение и фильтрацию по телу документа. Ответственным лицам, в свою очередь, не нужно читать весь документ, достаточно осуществить фильтрацию по тегу и получить выписку, в части себя касающейся.</div>
<div style="text-align: justify;">
<b><br /></b>
<b>Тег <i>Мера: Техническая, Организационная</i></b> - исполнение пункта достигается за счет применения технических или организационных мер. Такая классификация позволяет по каждому пункту документа определить, требуется ли что-то делать для его исполнения или пункт закрыт техническими мерами и является описанием.</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="http://2.bp.blogspot.com/-BxFD872jxMo/VYgAYfDJGVI/AAAAAAAAAkA/089Wm9etaZE/s1600/SZI.PNG" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" src="http://2.bp.blogspot.com/-BxFD872jxMo/VYgAYfDJGVI/AAAAAAAAAkA/089Wm9etaZE/s1600/SZI.PNG" /></a></div>
<div style="text-align: justify;">
<b><br /></b>
<b>Тег <i>СЗИ/ПО</i></b> - определяет программное обеспечение или техническое средство, применение которого обеспечивает реализацию технической меры. Помимо добавления полезной информационной нагрузки к пункту, появляется побочный эффект: по каждому средству защиты можно получить список мест его применения.</div>
<div style="text-align: justify;">
<b><br /></b>
<b>Тег <i>Приказ 17</i></b> - ссылка на соответствующий раздел "<i>Требований о защите информации, не составляющих государственную тайну, содержащихся в государственных информационных системах</i>", утвержденных приказом Федеральной службы по техническому и экспортному контролю (ФСТЭК) № 17 от 11.02.2013 и Методического документа "<i>Меры защиты информации в государственных информационных системах</i>" утвержденного ФСТЭК 11.02.2014, во исполнение которого действует соответствующий пункт документа.</div>
<div style="text-align: justify;">
<a href="http://3.bp.blogspot.com/-nD6L3KkB3fo/VYgAfxuFWZI/AAAAAAAAAkI/a2G-1wwTf1s/s1600/17Pr.png" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" height="221" src="http://3.bp.blogspot.com/-nD6L3KkB3fo/VYgAfxuFWZI/AAAAAAAAAkI/a2G-1wwTf1s/s320/17Pr.png" width="320" /></a>Рассматриваемый ниже пример документ готовился с оглядкой на 17 Приказ ФСТЭК и Методический документ к нему, но конечно перечень таких тегов может быть шире, все зависит от того, исполнение каких требований закрывается (описывается) документом: 21 приказ ФСТЭК, РД АС, ГОСТ Р ИСО/МЭК 27*, PCI DSS и т.д.</div>
<div style="text-align: justify;">
Подобное тегирование позволяет обосновывать пункты документа и оперативно определять, какими мерами (пунктами документа) закрываются те или иные требования.<br />
<br /></div>
<h3 style="text-align: justify;">
Пример</h3>
<div style="text-align: justify;">
На следующих примерах видно, как использование тегов упрощает восприятие документа.</div>
<div style="text-align: justify;">
Один пункт документа с тегами:</div>
<blockquote class="tr_bq" style="text-align: left;">
<div style="text-align: justify;">
<i>Отметки об установке обновлений ПО фиксируются в электронной форме в подсистеме анализа защищенности.</i></div>
<i>Ответственность: АБИ<br /> Мера: Техническая<br /><span style="text-align: justify;"> СЗИ/ПО: XXX</span><br /> Приказ 17: АНЗ.2</i></blockquote>
<div style="text-align: left;">
<span style="text-align: justify;">Тот же пункт но без тегов: </span></div>
<blockquote class="tr_bq" style="text-align: justify;">
<i>Контроль установки обновлений программного обеспечения осуществляется путем применения технических мер - использования средства защиты информации XXX, ответственным за обеспечение данного пункта является Администратор безопасности информации, а необходимость указанных действий определена в разделе АНЗ.2 приказа ФСТЭК России № 17.</i></blockquote>
<div style="text-align: justify;">
В качестве примера документа ниже привожу его часть, описывающую достаточно типовой блок вопросов по парольной защите и блокировке учетных записей. </div>
<div style="text-align: justify;">
Исходная версия документа в <a href="https://yadi.sk/d/NNkjZBFfhQBa7" rel="nofollow" target="_blank">*.MMAP</a> и его печатная версия в <a href="https://yadi.sk/i/0HEkStw1hQBde" rel="nofollow" target="_blank">*.DOCX</a>, а так же в <a href="https://yadi.sk/i/I-kWEsDihQBkb" rel="nofollow" target="_blank">MindJet *.PDF</a>.</div>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="http://3.bp.blogspot.com/-fWJrCY4DF04/VYgA13FYOhI/AAAAAAAAAkQ/4mH3U-k6aIg/s1600/SecPolicy_example.PNG" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img alt="Применение MindMap и тегов при подготовке документов по защите информации" border="0" height="273" src="http://3.bp.blogspot.com/-fWJrCY4DF04/VYgA13FYOhI/AAAAAAAAAkQ/4mH3U-k6aIg/s400/SecPolicy_example.PNG" title="" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Применение MindMaps и тегов при подготовке документов</td></tr>
</tbody></table>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Буду рад, если приведенный способ подготовки и ведения нормативной документации в организации окажется полезен.</div>
</div>
</div>
Николай Казанцевhttp://www.blogger.com/profile/06360204847185313704noreply@blogger.com5tag:blogger.com,1999:blog-5629533353479039418.post-46762990140100725822015-03-30T23:44:00.001-07:002015-03-30T23:44:19.504-07:00Подготовка ответов на запросы субъектов персональных данных<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="separator" style="clear: both; text-align: left;">
<a href="http://2.bp.blogspot.com/-Zlmr9Unb4lw/VRo8jW0yHbI/AAAAAAAAAi0/-o_fkFqDDaw/s1600/%D0%BE%D1%87%D0%B5%D1%80%D0%B5%D0%B4%D1%8C.jpg" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img alt="Запросов от субъектов ПДн все больше и больше" border="0" src="http://2.bp.blogspot.com/-Zlmr9Unb4lw/VRo8jW0yHbI/AAAAAAAAAi0/-o_fkFqDDaw/s1600/%D0%BE%D1%87%D0%B5%D1%80%D0%B5%D0%B4%D1%8C.jpg" title="Запросов от субъектов ПДн все больше и больше" /></a></div>
<div style="text-align: justify;">
152-ФЗ наделяет субъектов ПДн правом запрашивать у операторов ПДн информацию об обработке своих ПДн. Так же 152-ФЗ определяет обязанность операторов ПДн на такие запросы отвечать.<br />
Иные граждане все чаще начинают пользоваться этим правом, доставляя определенную нагрузку ответственным за обработку ПДн в организациях - операторах ПДн.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Что делать оператору ПДн при поступлении подобных запросов? Как минимизировать усилия по подготовке ответов субъектам ПДн?</div>
<a name='more'></a><div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Погрузившись в вопрос на практике оказывается, что не все так страшно и появление подобного "запроса" от гражданина не всегда означает большую нагрузку по подготовке ответа.<br />
Часть 7 статьи 14 152-ФЗ определяет внушительный перечень позиций, по которым субъект имеет право запросить у оператора информацию. Но условно список можно разделить на 2 части:
<br />
<ol style="text-align: left;">
<li>Подтверждение факта обработки ПДн субъекта и описание этих ПДн;</li>
<li>Сведения о процессе обработки ПДн оператором в целом.</li>
</ol>
</div>
<h3>
Подтверждение факта обработки</h3>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Прежде чем бросаться на поиски сведений о субъекте в ИСПДн оператора следует ответить на вопрос - верно ли составлен запрос субъекта, т.е. соответствует ли он требованиям п.3 статьи 14 152-ФЗ.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
О чем речь? В соответствии с п.3 статьи 14 152-ФЗ запрос субъекта персональных данных должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, <u>сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором</u> (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Значит, субъект ПДн в запросе должен явно указать информацию, помогающую оператору найти его ПДн. Часто субъект этой информации не предоставляет.</div>
<div style="text-align: justify;">
И тогда, если требуемых сведений в запросе субъекта нет, оператор имеет право вместо изнурительных поисков дать субъекту типовой ответ о том, что для подтверждения факта обработки ПДн субъекта оператором тот должен предоставить сведения в соответствии со статьей 14 152-ФЗ.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Конечно данный подход можно объявить формальным, но тут уже каждый оператор определяет свой подход исходя из адекватности запроса субъекта.</div>
<div style="text-align: justify;">
<br /></div>
<h3>
Сведения об обработке ПДн оператором</h3>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Следует подготовить и разместить (во исполнение п.2 Статьи 18.1 152-ФЗ) на официальном сайте оператора либо нормативные акты, определяющие обработку ПДн, либо единый документ, включающий все необходимые выжимки из них (например "Политику обработки ПДн оператором"). Далее в типовом ответе субъектам не расписывать информацию по каждому пункту запроса, а предоставлять ссылку на сайт оператора.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
В итоге, отметая часть запросов как несоответствующих требованиям 152-ФЗ и имея типовой ответ субъектам, отсылающий к опубликованной в Интернет информации об операторе, можно не нарушая законодательства экономить временные (считай денежные) затраты на подготовку ответов субъектам.</div>
</div>
Николай Казанцевhttp://www.blogger.com/profile/06360204847185313704noreply@blogger.com0tag:blogger.com,1999:blog-5629533353479039418.post-20323873294128281822015-03-16T05:25:00.002-07:002015-03-30T23:48:33.808-07:00Топ 5 мер кибербезопасности<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
<a href="http://4.bp.blogspot.com/-7rCP54U3TSQ/VQbLCCgRg8I/AAAAAAAAAiQ/abAqQ-dxqiY/s1600/council-on-cybersecurity%5B1%5D.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img alt="The Council on CyberSecurity" border="0" src="http://4.bp.blogspot.com/-7rCP54U3TSQ/VQbLCCgRg8I/AAAAAAAAAiQ/abAqQ-dxqiY/s1600/council-on-cybersecurity%5B1%5D.png" height="87" title="" width="320" /></a>С чего начать при внедрении (модернизации) системы защиты? Что следует сделать в первую очередь, чтобы получить гарантированный и скорый результат при минимальных затратах?<br />
<br /></div>
<div style="text-align: justify;">
Стандарты и лучшие практики определяют десятки мер, внедрение которых позволяет повысить защищенность инфраструктуры.</div>
<div style="text-align: justify;">
Одним из основополагающих международных стандартов в области кибербезопасности является документ "Критические меры безопасности для эффективной киберзащиты" (<a href="http://www.counciloncybersecurity.org/critical-controls/" target="_blank">Critical Security Controls for Effective Cyber Defense</a>) от международного Совета по вопросам кибербезопасности (The Council on CyberSecurity), в свое время этим документом так же занимался <a href="https://www.sans.org/critical-security-controls/" target="_blank">SANS</a>.</div>
<div style="text-align: justify;">
Документ на 106 страниц включает 20 мер (Контролей), содержащих подразделы. По сути это тот самый перечень мер, внедрение которых позволяет снизить риски ИБ с их дополнительной категоризацией по приоритетности. Отечественными аналогами служат 17 и 21 приказы ФСТЭК.</div>
<div style="text-align: justify;">
Интересной особенностью стандарта является наличие в нем списка мер, которые следует внедрить в первую очередь, итак:</div>
<div style="text-align: justify;">
</div>
<a name='more'></a><br />
<h3 style="text-align: center;">
Топ 5 мер, оказывающих наибольшее влияние на киберзащиту инфраструктуры по мнению The Council</h3>
<div class="separator" style="clear: both; text-align: center;">
<a href="http://3.bp.blogspot.com/-IwxzsrZMcXA/VQbLU3-qqmI/AAAAAAAAAiY/m32tzpqPBD4/s1600/Top5ESA7tr879%5B1%5D.jpg" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img alt="Топ 5 мер, оказывающих наибольшее влияние на киберзащиту инфраструктуры по мнению The Council" border="0" src="http://3.bp.blogspot.com/-IwxzsrZMcXA/VQbLU3-qqmI/AAAAAAAAAiY/m32tzpqPBD4/s1600/Top5ESA7tr879%5B1%5D.jpg" title="" /></a></div>
<ol style="text-align: left;">
<li>Белый список приложений;</li>
<li>Использование стандартных, безопасных конфигураций системы;</li>
<li>Обновление прикладного программного обеспечения в течение 48 часов;</li>
<li>Обновление системного программного обеспечения в течение 48 часов;</li>
<li>Уменьшение количества пользователей с административными привилегиями.</li>
</ol>
<div>
Далее описание каждой меры из стандарта с указанием аналога из документов ФСТЭК:
</div>
<div>
<br />
<h4 style="text-align: left;">
CSC 2-1</h4>
<div style="text-align: justify;">
Развертывание технологии белых списков позволяет системе запускать ПО, только если оно включено в белый список и предотвращать исполнение всех других программ в системе. Белые списки могут быть очень большими (основываться на доступных белых списках производителей ПО) и это не вызовет у пользователей неудобства при использовании общего ПО. Или, в некоторых системах специального назначения (которые требуют лишь небольшого количества ПО для обеспечения их функциональности), белые списки могут быть довольно небольшими.</div>
<i>Аналог в 17 приказе ФСТЭК: ОПС.3
</i></div>
<div>
<br />
<h4 style="text-align: left;">
CSC 3-1</h4>
<div style="text-align: justify;">
Создание и контроль использования стандартных безопасных конфигураций ваших операционных систем. Стандартизированные образы должны представлять собой проверенные версии операционных систем и приложений, установленных в системе. Подготовка, как правило, включат в себя: удаление ненужных учетных записей (в том числе служебных), отключение или удаление ненужных служб, применение патчей, закрытие открытых и неиспользуемых сетевых портов, внедрение систем обнаружения вторжений и/или систем предотвращения вторжений, использование локальных брандмауэров. Эти образы должны проверяться и обновляться на регулярной основе для поддержания конфигурации их безопасности в свете последних уязвимостей и векторов атак.</div>
<i>Аналог в 17 приказе ФСТЭК: частично ОЦЛ.3 и ОДТ.2 (в 21 приказе ФСТЭК: УКФ.1-4)</i>
</div>
<div>
<br />
<h4 style="text-align: left;">
CSC 3-2</h4>
<div style="text-align: justify;">
Внедрение утилит и процессов автоматической установки патчей для приложений и операционных систем. Когда устаревшие системы не могут быть больше обновлены, обновление прикладного программного обеспечения до последней версии. Удаление устаревших, старых и неиспользуемых приложений из системы.</div>
<i>Аналог в 17 приказе ФСТЭК: АНЗ.2</i>
</div>
<div>
<br />
<h4 style="text-align: left;">
CSC 3-3</h4>
<div style="text-align: justify;">
Ограничить наличие административных привилегий небольшим количеством пользователей, которые имеют как знания, необходимые для администрирования ОС, так и служебную необходимость изменять конфигурации ОС. Это поможет предотвратить установку несанкционированного ПО и другие злоупотребления правами администратора.</div>
<i>Аналог в 17 приказе ФСТЭК: УПД.5</i>
</div>
<div>
<br />
<h4 style="text-align: left;">
CSC 4-1</h4>
<div style="text-align: justify;">
Автоматический запуск сканеров уязвимостей для всех систем в сети, еженедельно или чаще, последующая доставка списков с наиболее критичными уязвимостями каждому ответственному системному администратору, вместе с оценкой риска, который сравнивает эффективность системных администраторов и подразделений в снижении рисков.</div>
<div style="text-align: justify;">
Использование сканеров уязвимостей, поддерживающих протокол <a href="http://scap.nist.gov/" target="_blank">SCAP</a> которые показывают как уязвимости кода (такие как описанные в <a href="https://cve.mitre.org/" target="_blank">Common Vulnerabilities and Exposures entries, CVE</a>) так и уязвимости конфигураций (такие как перечисленные в <a href="https://cce.mitre.org/" target="_blank">Common Configuration Enumeration Project, CCE</a>).</div>
<i>Аналог в 17 приказе ФСТЭК: АНЗ.1 </i>
</div>
<div>
<br />
<h4 style="text-align: left;">
CSC 12-1</h4>
<div style="text-align: justify;">
Свести к минимуму административные привилегии и использовать учетные записи администраторов только когда они требуются. Осуществлять целенаправленный аудит использования административных привелегированных функций и осуществлять контроль аномального поведения. </div>
<i>Аналог в 17 приказе ФСТЭК: УПД.5</i></div>
</div>
Николай Казанцевhttp://www.blogger.com/profile/06360204847185313704noreply@blogger.com1tag:blogger.com,1999:blog-5629533353479039418.post-66959099646301722652015-03-04T02:26:00.005-08:002015-03-30T23:51:14.714-07:00Матрица доступа для виртуальных подсетей<div dir="ltr" style="text-align: left;" trbidi="on">
<div>
<table cellpadding="0" cellspacing="0" class="tr-caption-container" style="float: left; text-align: left;"><tbody>
<tr><td style="text-align: center;"><a href="http://2.bp.blogspot.com/-NRSQ3xxLZRo/VPbfEmmNuJI/AAAAAAAAAhI/18nSEIOc0b8/s1600/matrix.png" imageanchor="1" style="clear: left; margin-bottom: 1em; margin-left: auto; margin-right: auto;"><img border="0" src="http://2.bp.blogspot.com/-NRSQ3xxLZRo/VPbfEmmNuJI/AAAAAAAAAhI/18nSEIOc0b8/s1600/matrix.png" height="149" width="200" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">The Matrix has you... (C)</td></tr>
</tbody></table>
<div style="text-align: justify;">
Заметка о настройке правил доступа между виртуальными локальными сетями (<a href="https://ru.wikipedia.org/wiki/VLAN" target="_blank">VLAN</a>) в локальной вычислительной сети организации.</div>
</div>
<div>
<div style="text-align: justify;">
Технические аспекты настройки оборудования рассматриваться не будут, целевая аудитория сотрудники ИБ, перед которыми стоит задача организовать внедрение VLAN и определить правила настройки их доступа с позиции максимальной защищенности сети. </div>
</div>
<div>
<a name='more'></a></div>
<div>
<div style="text-align: justify;">
Главный принцип - минимизация прав доступа между VLAN, об оптимизации трафика речь не идет.</div>
</div>
<div>
<br /></div>
<div>
Перед внедрением VLAN необходимо определить:</div>
<div>
<ol style="text-align: left;">
<li>Порядок внедрения;</li>
<li>Перечень будущих VLAN;</li>
<li>Правила доступа между VLAN.</li>
</ol>
</div>
<h3 style="text-align: left;">
Порядок внедрения</h3>
<div>
Внедрение может происходить несколькими способами:</div>
<div>
<ol style="text-align: left;">
<li>Сначала узлы - потом правила<br /><div style="text-align: justify;">
Плюсом данного подхода является быстрое разнесение узлов по VLAN, минусом - длительный процесс применения правил между VLAN и риск нарушить функционирование целой подсети в случае неправильной настройки доступа. Последовательность следующая:</div>
</li>
<ol>
<li>Создание VLAN с полным доступом между ними.</li>
<li>Разнесение всех узлов сети по VLAN.</li>
<li>Постепенное применение правил доступа между VLAN.</li>
</ol>
<li>Сначала правила - потом узлы<br /><div style="text-align: justify;">
Плюсом данного подхода является возможность тестирования на небольших группах не самых критичных узлов, минусом - длительный процесс разнесения узлов по VLAN и необходимость определить правила доступа до начала работ. Последовательность следующая:</div>
</li>
<ol>
<li>Создание VLAN с настройкой правил доступа между ними.</li>
<li>Постепенное разнесение всех узлов сети по VLAN.</li>
</ol>
</ol>
Второй вариант предпочтителен, но требует большей предварительной подготовки.</div>
<h3 style="text-align: left;">
На какие подсети разделить ЛВС?</h3>
<div>
Все зависит от архитектуры сети и особенностей технологических процессов. В целом, можно выделить следующие подсети:</div>
<div>
<ol style="text-align: left;">
<li>Подсети пользователей:</li>
<ol>
<li> Бухгалтерия;</li>
<li> Кадры;</li>
<li> Отделы 1…N.</li>
</ol>
<li>Служебное подсети:</li>
<ol>
<li>Администраторы;</li>
<li>Сервера;</li>
<li>Принтеры;</li>
<li>Сетевое оборудование.</li>
</ol>
<li>Подсети для Интернет и внешние сети:</li>
<ol>
<li>Смежные ЛВС;</li>
<li>АРМ для Интернет;</li>
<li>WiFi точки доступа в Интернет;</li>
<li>Интернет (провайдер).</li>
</ol>
</ol>
</div>
<h3 style="text-align: left;">
Правила настройки доступа между подсетями</h3>
<div>
Исходим из запрета доступа по умолчанию (разрешительная система доступа).</div>
<div>
<div style="text-align: justify;">
Для формализации правил доступа следует создать "Матрицу доступа VLAN". Но прежде следует определиться с методом отражения правил доступа в Матрице.</div>
</div>
<div>
Правилами можно настраивать "входящий" и/или "исходящий" трафик:</div>
<div>
<ol style="text-align: left;">
<li>Входящий: настраиваем "кому" можно получить доступ к нашему VLAN. В данном случае мы защищаем наш VLAN от всех внешних.</li>
<li>Исходящий: настраиваем"куда" можно получить доступ из нашего VLAN. В данном случае мы защищаем все внешние VLAN от нашего.</li>
</ol>
</div>
<div>
<div style="text-align: justify;">
С точки зрения ИБ правила входящего важнее т.к. мы на уровне каждого VLAN определяем его защиту от окружающего мира. Настраивать же придется и входящий и исходящий трафик, т.к. если из <i>А</i> можно в <i>Б</i> то это не значит, что к <i>Б</i> можно из <i>А</i>. </div>
</div>
<div>
При подготовке Матрицы доступа следует определить правила только для "входящего", а правила исходящего настраивать зеркально входящему. </div>
<div>
<div style="text-align: justify;">
Не следует без особой нужды настраивать входящий и исходящий трафик различным образом т.к. это усложнит правила и сделает нечитабельной Матрицу доступа.</div>
</div>
<div>
<br /></div>
<div>
В самом простом случае Матрица доступа будет похожа на эту:</div>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="http://1.bp.blogspot.com/-2cT7Y2I9MhM/VPbRutTur9I/AAAAAAAAAgs/YA_I4qgDxvk/s1600/VLAN_Matrix2.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" src="http://1.bp.blogspot.com/-2cT7Y2I9MhM/VPbRutTur9I/AAAAAAAAAgs/YA_I4qgDxvk/s1600/VLAN_Matrix2.png" height="56" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Простая матрица доступа VLAN, красный - нет доступа, зеленый - есть доступ.</td></tr>
</tbody></table>
<div>
<br /></div>
<div>
В реальности правила доступа сложнее и оперируют не только подсетями, но и группами узлов (Object Groups for ACLs). </div>
<div>
Примеры групп узлов для серверного VLAN:</div>
<div>
<div>
<ul style="text-align: left;">
<li>Сервера с которыми работают все пользователи (<i>S_Work</i>)</li>
<li>Сервера бухгалтерии (<i>S_BUH</i>)</li>
<li>Сервера кадрового подразделения (<i>S_Kadr</i>)</li>
<li>Принт сервер и сервера для сетевого сканирования (<i>S_Scan</i>)</li>
<li>Сервера для публичного доступа из вне (<i>S_Public</i>)</li>
<li>Прокси сервера (<i>S_Proxy</i>)</li>
<li>Сервера, которым необходимо обращаться к узлам сети (сканирование, управление)(<i>S_SYS</i>)</li>
</ul>
</div>
</div>
<div>
Если исходить из того, что группы содержат узлы только из одного VLAN (это не обязательно, но в большинстве случаев верно), то Матрица доступа между подсетями может выглядеть так:</div>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="http://2.bp.blogspot.com/-zEgw0Hgv1sc/VPbTENrdo0I/AAAAAAAAAg0/4FxcA5F-NsQ/s1600/VLAN_Matrix1.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" src="http://2.bp.blogspot.com/-zEgw0Hgv1sc/VPbTENrdo0I/AAAAAAAAAg0/4FxcA5F-NsQ/s1600/VLAN_Matrix1.png" height="115" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Матрица доступа VLAN с учетом Object Groups</td></tr>
</tbody></table>
где:<br />
<div>
<ul style="text-align: left;">
<li><span style="background-color: #e69138;">красный</span> - нет доступа;</li>
<li><span style="background-color: #6aa84f;">зеленый</span> - полный доступ;</li>
<li><span style="background-color: #f1c232;">желтый</span> - ограниченный доступ.</li>
</ul>
О чем говорит приведенная Матрица доступа:</div>
<div>
<ul style="text-align: left;">
<li>для подсетей <i>Сервера </i>и <i>Бухгалтерия: </i>правило<i> ALL -> S_Work, S_BUH</i> означает что все сотрудники бухгалтерии будут иметь доступ как к тем же серверам, что и прочие пользователи сети, так и к серверам бухгалтерии. То есть к серверам бухгалтерии имеют доступ только сотрудники бухгалтерии.</li>
<li>К подсети принтеров имеют доступ все пользователи, которым можно распечатывать документы, а из подсети принтеров можно получить доступ только к принт-серверу или серверам на которые осуществляется сетевое сканирование документов. Значит, если несанкционированно подключиться к сетевой розетке принтера, осуществить полноценную атаку на сеть будет затруднительно, можно будет попробовать атаковать принт-сервера, а уже через них получить доступ дальше.</li>
<li>Используя точки доступа (VLAN <i>WiFi spot</i>) можно выйти в интернет или распечатать документы, но нет доступа к другим узлам сети.</li>
<li>и т.д.</li>
</ul>
</div>
</div>
Николай Казанцевhttp://www.blogger.com/profile/06360204847185313704noreply@blogger.com0