Friday, October 20, 2017

Новая эра технологических продуктов

Никогда не противопоставлял Культуру и Цивилизацию, более того, считаю эти два понятия разными перспективами одного и того же.

Со времен Сноудена, робких порывов РФ к импортозамещению, шквала различных обвинений в недокументированных возможностях, сделанных "по ошибке", которой успешно пользовались госхакеры и все остальные, или умышленно, а также загадочных публикаций и событий, становится очевидным тренд, подрывающий глобализацию.
В обществе постепенно культивируется мнение о тотальной слежке, и через какие-нибудь 10 лет продать высокотехнологичное СЗИ в виде "коробки" в другое, заботящееся о национальной безопасности государство, будет крайне сложно.
Описанное явление - обычная трансформация взглядов потребителей, происходящая не первый раз в истории, вызванная, в нашем случае - изменениями модели угроз и нарушителя (что важно для ИБ-продуктов, хотя и звучит как-то академично\бумажно), конъюнктурой рынка, и пр. проявлениями культурно-цивилизационной эволюции. Изменение спроса требует изменения предложения, - подумаем что можно предложить...

Ключевым, и самым ресурсоемким, компонентом любого технологического продукта являются исследования, поскольку основной характеристикой СЗИ является, собственно, качество защиты, которое требует серьезных глубоких исследований атак с целью выработки наиболее эффективных способов защиты от них. Исследования заворачиваются математиками\теоретиками в алгоритмы, которые затем архитекторами превращаются в технологические компоненты, которые, в свою очередь, другими архитекторами заворачиваются в продукты\"коробки", поставляемые конечному потребителю. Да простят меня разработчики за столь простое изложение реально сложных процессов. Очевидно, что на протяжении этой длинной цепочки от идеи до "коробки" есть много полуфабрикатов и запчастей, которые не являются конечными потребительскими продуктами, но, безусловно, имеют ценность, так как аккумулируют в себе исследования.

Далеко не каждая компания может позволить себе исследования, ибо это требует инвестиций прямо сейчас, а окупаемость придет только потом, да и то с вероятностью. Более того, поскольку детектирующая атаки логика является весьма скоропортящимся товаром, исследования внутри продукта ИБ имеют ярко выраженный операционный характер с уровнем качества сервиса, напрямую влияющим на ценность этого исследования. В качестве ремарки, хочется отметить, что системные операционные исследования имеют мало общего с ad-hoc ресерчами, возможно, даже выстрелевшими в какие-либо громкие публикации, так как приоритет operations-исследований - неизменно высокое качество детекта во времении, а не "вау-эффект" от ad-hoc.
А вот написать код, продуктивизирующий исследования - радикально проще.
Учитывая, что недоверие и закладки относятся именно к конечному продукту, а не к исследованиям внутри него, логичным изменением предложения является смещение фокуса с "коробок" на технологии и запчасти. Причем продажи технологий и запчастей с сопутствующим операционным ресерчем (чтобы запчасти продолжали оставаться эффективными) при правильной организации может оказаться еще и более выгодной - как бонус к уходу от возможных претензий в недокументированных возможностях.
Идея совсем не нова. Все то же мы наблюдаем с российским автопромом, когда иномарки ввозят в страну по запчастям и, будучи собранной на территории РФ, иномарка чудесным образом превращается в отечественный автомобиль.

В целом, понятно, что надо делать, но все-таки, позволю в последнем абзаце явно написать алгоритм.

  1. Модифицировать стратегию, отдав больше внимания исследованиям, технологиям и запчастям-компонентам, которые можно удобно\дешево встраивать в другие продукты и\или разрабатывать вокруг них необходимую обвязку.
  2. Искать и входить в партнерство с локальными производителями программных продуктов (== "сборочных конвейеров"), которые смогут из компонент п.1 сделать локальную сборку и обязательно протащить ее через все возможные местные сертификации.
  3. Находить локальных производителей и строить им "производственные мощности" и "сборочные конвейеры", на которых они уже от своего имени смогут делать  продукты и сервисы, удовлетворяющие всевозможным требованиям и условиям.
  4. Не расслабляться, помните, что как любая палка имеет, как минимум, два конца, так и любое изменение ситуации можно с одинаковым успехом трансформировать как в убыток, так и в выгоду, и наша менеджерская задача здесь - искать и находить тот правильный ответ обстоятельствам, идти "в ногу" с культурно-цивилизационными изменениями, постоянно эволюционируя.

Friday, October 6, 2017

Проактивная реактивность

С одной стороны, мы дома сидим,
С другой стороны, мы едем!
Александр Аронов "Полный вперед!"

Мы не раз говорили о том, что TH - проактивный подход, поскольку не полагается на заблаговременно подготовленные сигнатуры. Слово "проактивность" имеет смысл некоторого упреждения, а поскольку мы говорим об обнаружении атак, может сложится ощущение "упреждения обнаружения", т.е. "предотвращения". Это не так.

Все, что можно упрежденно обнаружить и предотвратить - обрабатывается автоматическими превентивными средствами защиты. ТН - не автоматизируется полностью, а следовательно, не годится в качестве превентивного средства защиты. ТН - направлен на обнаружение атак, обошедших используемые превентивные средства защиты, т.е. это - следующий эшелон защиты. Как правило, такие атаки "очень похожи" на легитимное поведение и не используют вредоносных образцов, которые можно было бы автоматически полечить, а, следовательно, чем более похожа атака на "не атаку", тем больше факторов надо собрать для принятия решения, и тем позже будет сделан вердикт. В зрелом ТН сбор и анализ факторов максимально автоматизирован, однако решение все равно принимает аналитик (если бы аналитик был не нужен - был бы просто детект продукта) и уже после взлома.

Sunday, September 24, 2017

Политика Безопасности

Невозможно сделать все и сразу, поэтому есть приоритеты - они определяют возможности продукта сейчас и в ближайшем будущем.

Я ни в коем случае не хочу оскорбить американских производителей, но, исходя из происходящих событий, приходится верить в слова Сноудена, в экономическое оружие и прямое влияние политики на частный бизнес.

Намедни слушал маркетинговую презентацию решений по защите от целевых атак одного из американских производителей. Возник вопрос, который очень хотелось уточнить, однако, поскольку ответ едва ли может быть быстрым и, что самое главное, объективным, решил не спрашивать.

Целевые атаки - персонализированы под конкретного заказчика, следовательно, они персонализированы, как минимум, под страну. Вот интересно, насколько американская компания может быть компетентна в атаках, характерных для РФ? Целевые атаки - это прежде всего исследования, практика расследования инцидентов. Много ли американские компании расследуют инцидентов в РФ? Вообще, многие ли американские компании, разрабатывающие решения по защите от целевых атак, имеют в РФ широкую сервисную практику и\или исследовательские подразделения R&D ? Весьма немногие, в основном, - какие-то партнеры, умеющие привозить и продавать.
Но пойдем далее, известный факт, что некоторые\многие американские фирмы не рассматривают РФ как свой важный рынок и даже не имеют здесь офиса, что уж там говорить о глубоко-технических инженерах, способных на месте решать вопросы, тем более принимать запросы на новый функционал\исправления, ставить их в планы и реализовывать с желаемыми заказчиками из РФ приоритетами.
Но вернемся к целевым атакам. Как вы думаете, имея РФ в качестве неперспективного рынка, будет ли американская компания инвестировать в исследования целевых атак, специфичных для РФ?  Но все еще хуже: американские коллеги рассматривают Россию и ее технологические компании, как чуть ли не основного киберпротивника. Будет ли в этом случае американская компания заниматься киберобороной своего киберпротивника? А как насчет state-sponsored?
Пойдем еще дальше. Кто-то может возразить, что я неправ смешивая политику и частный бизнес. А вот и нет! Национальный бизнес - это тоже оружие, экономическое. Доминирование национальных компаний на мировом рынке дает преимущества, важность которых сложно переоценить, ставя целые государства в бесконечную экономическую зависимость. Об этом написана масса книг, например, можно ознакомиться с "Исповедь экономического убийцы" Джона Перкинса. Одновременно, с уничтожением национальных экономик своих жертв, ведется и борьба по подрыву того, что еще осталось эффективного и результативного, и об этом даже есть методические указания. В общем, системная работа ведется по всем направлениям.
Многочисленные факты игнорирования явной абсурдности всех обвинений и поразительная настойчивость в продолжении "линии партии" показывает лишь то, что никакой демократии нет, "наши американские партнеры" не остановятся ни перед чем, и никакие обязательства перед заказчиками не остановят американского производителя, если это будет угодно их родине - выбор между "выйти из бизнеса вовсе" и "потерять бизнес в РФ" - очевиден.

Но мы ушли в космос... Что же выбрать российскому потребителю для защиты от целевых атак?
1. Производитель должен иметь обширную практику расследования инцидентов целевых атак в именно в РФ - это специфика целенаправленности атак.
2. Для производителя рынок РФ должен быть важным, занимать значительный % в структуре дохода - это определяет приоритеты.
3. (добавка к п.1) Производитель должен проводить исследования целевых атак в РФ - не могу придумать ничего более объективного, чем наличие русских людей R&D, занимающихся исследованиями целевых атак.
4. Тучи сгущаются, новые санкции сменяют старые, и чем более суверенными мы будем пытаться быть, тем больнее нас будут пытаться задеть во всех возможных сферах. Поэтому, ведя успешный бизнес в РФ, по меньшей мере недальновидно увеличивать степень своей уязвимости от ухудшения политического климата, проще говоря, санкций. Более того, совсем необязательно поддерживать санкции, можно просто валять дурака, мягко саботировать процесс.


Monday, August 21, 2017

Критерий успеха

В одну реку нельзя войти дважды

Как писали ранее, тишина - это страшный звук. И уж тем более не критерий успеха для корпоративной безопасности. Но как же понять, что зачистка была успешна? Практика показывает косвенный рабочий критерий успешного избавления: радикальное увеличения интенсивности попыток проинфектить через характерные для конкретной атаки векторы и техники. Действительно, если бы закрепление сохранилось, предпринимать новые попытки пробива было бы не за чем. Ну, а поскольку оно было утрачено, + согласно 1-ому тезису, ребята не отстанут, - успешная чистка провоцирует активацию попыток новой компрометации. Не думаю, что возобновление забрасывания "плохими" письмами по почте служит исключительно для целей сохранения среднестатистического спам-фишинг-шума, так как попытки пробива с характерными нагрузками\атрибутикой - вынужденное палево для всех "новинок". Поэтому, несмотря на заметное осложнение ситуации на периметре, вывод здесь все-таки напрашивается позитивный: они пока не попали внутрь, раз так усиленно пытаются это сделать.


Saturday, August 19, 2017

После взлома

Есть цель? Иди к ней!
Не получается? Ползи к ней!
Не можешь? Ляг и лежи в ее направлении!

Уже писал об оперативности обнаружения, однако, заметна потребность в более системном объяснении, попробую здесь.

Любую атаку хочется предвидеть и предотвратить. Если не получилось предотвратить, то минимизировать ущерб. Минимизировать ущерб можно пытаясь обнаружить успешную атаку как можно раньше и прервать "работу" ребят, пока атакующий не достиг своих целей полностью. Если брать во внимание целевые атаки, планируемые с учетом используемых у Цели средств безопасности, а, следовательно, успешно их обходящие, и выполняемые людьми, и поэтому крайне проблематичны для обезвреживания исключительно автоматическими средствами, то такие атаки гарантировано будут пропущены. И здесь мы как раз попадаем на тот случай, когда предотвратить не получилось и надо обнаружить, расследовать и почиститься. Для достижения этих целей и служит TH, который включается уже после взлома. Поскольку любая атака - это трата ресурсов, а тратить ресурсы впустую - глупо, и атакующие это понимают, постепенно сбывается то, что писал: "в перспективе нас ожидают исключительно таргетированные атаки". Как следствие - повышенное внимание к TH, как подходу, эффективно работающему после взлома.
Ну а что же работает до взлома? Как прежде - все те же автоматические превентивные меры: IPS-ы, WAF-ы, антивирусы и пр. И, если у них не получилось, включается ТН. Печальная очевидная правда в том, что для того, чтобы отличить плохое поведение от хорошего, нужно чтобы это поведение случилось, т.е. придется дозволить допустить сделать плохо, поскольку это (выполненное плохое действие) - единственный индикатор. Но, с дугой стороны, не надо рефлексировать относительно этого вынужденного дозволения, поскольку пока плохое не сделано, ущерба нет и, можно сказать, нет и инцидента.

Закончить этот короткий пост хочется очередной ассоциативной картинкой о до и после взлома, показывающей, что успех - не в чем-то одном, но в совокупности эффективно взаимно дополняющих подходов, хорошо работающих на разных этапах (в общем, как и с детектом).

Saturday, August 12, 2017

Next-gen

Старый конь борозды не испортит
(Поговорка)

Полагаю, не мне одному и не раз приходила мысль о том, что неожиданности лучше врезаются в память. Поэтому, в рекламах допускают орфографические ошибки, да и прославиться значительно проще, если придумать какой-нибудь радикальный взгляд, что привело к появлению великого множества паранаук, псевдоисторических фильмов, новых прочтений и прочей почвы для "шокового маркетинга", когда эмоциональное потрясение\удивление\неожиданность\неготовность трансформируют в почти рациональные убеждения.

Примерно к таким же мыслям прихожу, когда читаю некоторые маркетинговые листовки о защитах нового поколения, включающих в себя все новомодные базворды: machine learning, artificial intelligence, deep learning, behavioral monitoring,..., next-generation. В этих же публикациях, как правило, не брезгают и покидаться грязью в "legacy AV", "signature-based" и т.п.

Что не так? Продолжим серию разоблачений...
Во-первых, по моему мнению "signature-based legacy AV" уже просто нет (если они еще остались, то скоро вымрут как динозавры). Против современных этак это не работает, это понятно, и надо быть полным невеждой, думая, что антималварные вендоры, кто всю свою историю занимаются поиском новых атак, чтобы в сложнейшей конкурентной борьбе, обеспечить свой detect rate, этого не понимают. Очевидно, производители АВЗ первыми сталкивались с новыми атаками и соответствующим образом развивали свои детектирующие технологии. Весной 2015, когда я работал еще в Заказчике, для меня эта логика была очевидной догадкой, сейчас, работая в Поставщике, я могу с уверенностью сказать - все, что можно продетектить и пролечить автоматически - продетекчивается и пролечивается автоматически, и, безусловно, "legacy" здесь недостаточно, поэтому ими все не ограничивается. Правда, не все можно обнаружить исключительно автоматически - но об этом дальше...

Во-вторых, "сигнатуры" могут быть не только на примитивные последовательности байтов, как многие думают. Они могут быть также и на поведение, "аномалия" - это тоже сигнатура - отклонение от такого-то порога, выход из такой-то статистической зависимости. На слайде 9 рассказывалось о концепции "ханта" - одного из множества используемых подходов к обнаружению - это некоторый квант аномального поведения (например, запуск командного интерпретатора из офисного приложения, или обращение в Интернет не от браузера, или несоответствие имени\пути файла его хешу и т.п.), совокупность которых анализируется при принятии решения о "подозрительности" того или иного наблюдения - это тоже сигнатура. В любом случае, если мы не говорим о каком-то самообучающимся машобуче, нам нужно автоматизированной системе пояснить, "что такое "хорошо", и что такое "плохо" - сигнатура - это один из распространеннейших способов такого пояснения.

В-третьих, есть масса фактов (раз, два, три, четыре, пять и т.п.) демонстрирующих, недостаточность, исключительно новомодных технологий. Тут масса причин: и то, что грань межу "целевой" и "обычной" атакой размыта (писали - вот подтверждение), и то, что и в целевых атаках используется "обычная" malware, и то, что есть миллион+1 вариант, когда никакими анализаторами аномалий нет возможности различить вредоносное поведение файла, и несравненно дешевле сделать детект на семейство файликов, чем стрелять по воробьям сложными математическими вычислениями (даже если они выполняются исключительно в облаке и не грузят endpoint), ... в общем, думаю, не надо быть гениальным, чтобы поверить, что разные технологии показывают разную эффективность в различных сценариях. Поскольку сценариев атак может быть великое множество, для обеспечения эффективности нужно иметь великое множество технологий и только их комбинация может дать желаемый результат. А все эти потуги возвышения "нового" за счет унижения "старого" - дешевый "технологический" маркетинг, попытки хоть чем-то обосновать "революционность" своего решения, что, на мой взгляд, в глазах думающего и понимающего потребителя имеет обратный эффект.

Именно поэтому новые технологии, использующие большие данные, машинное обучение, распределенные вычисления, облака - не вытесняют "легаси", а гармонично дополняют. А "новое поколение" - это не то, что реализует только новые подходы, а то, что реализует все, что показывает максимальную эффективность и результативность на современном ландшафте угроз.

Но даже и этого мало! Современные атаки реализуются людьми и противостоять им исключительно автоматически - невозможно, - все та же проблема с обходом средств защиты (новые навороченные автоматы, да, они более продвинуты, но, в любому случае, они - автоматы) и, поэтому, они [всегда, всегда, всегда] могут быть обойдены. И этот сценарий - компенсируется работой команды, не менее квалифицированной, чем атакующие, и использующей все эти новомодные средства не как стену за которую можно спрятаться, но как инструменты (оружие, если хотите) для активного обнаружения и противодействия.

Wednesday, August 2, 2017

Лес за деревьями

Когда  кариес - гигиена уже на поможет.
(Личный опыт)

Если вам не интересно мнение окружающих - ведите блогОднако, в моем случае совет Силесты не применим, напротив, мне интересно мнение окружающих, и я не навязываю свое (ну, по крайней мере, прилагаю к этому все усилия, а случаи нарушения этого принципа позволю себе списать на слабости, коих у всех нас предостаточно). Одной из значимых причин моего блоггерства является нежелание одно и то же рассказывать много раз, - значительно проще метнуть ссылку, где все изложено (да, да, Силеста тут угадала с преобладанием электронного общения над живым, но это, скорее, особенности нашей профессии). Так и в этот раз - неоднократно говоря везде где возможно о необходимости концентрации на цели, прежде чем подбирать средства, обнаружил, что дело часто обстоит еще хуже - не все понимают цели.

Сложный технологический продукт трудно описать словами, лучшая его демонстрация - возможность испробовать в действии. Чтобы почувствовать прелесть автомобиля - лучше его потестдрайвить, ножом - порезать, камерой - поснимать, телевизор - посмотреть и т.п. Поэтому сервис может быть пропилотирован. Мы не распыляемся, - задача в общем-то одна - обнаружение атак, любых: целевых, безмалварных, с использованием новой малвары, с антифоренсикой - любой, что обошла существующие системы защиты (понятно, что не прошедшая системы защиты атака была успешно ими убита, и участия человека, в большинстве случаев, не требует). В целом, это не все, чем может заниматься SOC, - это один из его процессов, хотя...

После одного из пилотов, где количество выявленной альтернативной жизни красноречиво подтвердило прежде слабые догадки существования множества возможностей компрометации, а также, факты многократных взломов, и, в конечном счете, необходимость экстренной стимуляции кибериммунитета, было удивительно услышать, что Заказчик решил сначала сосредоточиться на более важных задачах обеспечения ИБ: контроль доступа, управление уязвимостями и выполнение требований комплайенса. Даже в обычных условиях список первоочередных мер вызывает улыбку умиления. Истерический смех вызывает этот список в совокупности со осознанием, что там были ребята (которые, возможно, и не ушли), а легковесная чистка на пилоте едва ли компенсирует отсутствие систематического подхода: поиск-расследование-реагирование-адаптация.

Как по-вашему, зачем ИБ? Какова прямая цель? Сохранение прежней эффективности и результативности бизнеса! КЦД информации - одна из перспектив достижения этой цели, но не сама цель. Контроль доступа - это одно из средств сохранения КЦД информации, так же и управление уязвимостями, тем более - комплайенс - это вообще способ измерения эффективности применяемых средств - ничто из перечисленного не годится в первостепенные меры, так как не закрывает цель, а лишь частично приближает к ней: решите вопрос с контролем доступа - атакуют через уязвимость в ПО, решите вопрос с уязвимостями - атакуют через целевой фишинг или зеродей, решение вопроса с комплайенсом - не является достаточным условием состояния безопасности вовсе. А, на самом деле, логическая цепочка очень проста: для сохранения прежних effectiveness и efficiency бизнеса нужно научиться противостоять атакам (это банально просто: любое покушение на бизнес - это  атака) -- чтобы атакам противостоять надо, как минимум научиться их обнаруживать, обнаруживать любые атаки, и реагировать на них. Получается примитивно простая формула: цель ИБ - защита от атак. Именно защиту от атак мы и предлагали, понимая что это - покроет цель, но Клиент предпочел средства: ставить патчи, управлять доступом, делать комплайнс - одним словом, заниматься гигиеной в то время, когда уже нужно лечить кариес.