|
Авг 12
|
Редко попадаются интересные телерепортажи, но этот, на мой взгляд, исключение
5716 . 2118
|
Авг 09
|
В преддверии второго чтения законопроекта с поправками в закон о персональных данных, решили с коллегами (toparenko и Алексей Волков) сделать исследование по теме персональных данных, а именно определить некие основные ключевые спорные вопросы персональных данных в русской вариации (штук 5-10), и расписать, как они решены (если вообще решены) в международной практике.
Чтобы сделать материал более интересным и адресным, просим всех читателей сообщить, какие темы вам кажутся наиболее спорными.
Для удобства, просим перечислить темы в форму ниже и нажать “Отправить”.
Также можно смело писать в комментарии, их мы тоже читаем 
5713 . 1976
Другие записи
|
Авг 03
|
Сегодняшний большой пост посвящен проблематике расследования инцидентов информационной безопасности. Так уж исторически сложилось, что в России долгое время этой темой никто не занимался, при этом в Европе и США такие услуги стали очень популярными.
С этим рынком вообще уникальная ситуация.
На сегодняшний день рынок расследования инцидентов ИБ в тех же США составляет несколько миллиардов долларов и значительно превышает рынок, например, privacy, или как, с некоторыми допущениями, мы его называем – защита персональных данных. Очевидно, что эта тема будет развиваться, несмотря на российские традиции, особенности и т.п. Просто потому, что есть потребность.
Недавно я познакомился с Ильей Сачковым, директором первой на российском рынке компании, которая профессионально занимается расследованием инцидентов информационной безопасности. Более компетентного человека в этих вопросах я не встречал.
Чтобы понять, что же такое расследование инцидентов информационной безопасности по-русски 
попросил дать предметное интервью для блога. Надеюсь, материал читателям понравится, особенно в части реальных кейсов.
Илья добрый день,
Ситуация с вашим бизнесом настолько уникальная и интересная, что конечно вопросов очень много. Я постарался выбрать наиболее общие. Итак…
1. Расскажите о своей компании. Как она появилась? Почему вы решили заниматься столь инновационным делом?
Здравствуйте, Евгений!
Идея родилась в 2003 году, когда я прочитал американскую книгу про расследование компьютерных преступлений. Мне показалось очень интересным это направление с точки зрения специалиста. В то время я работал в области классической ИБ. Преступление, расследование, романтика. Стало интересно: кто работает в этом направлении? Я изучил рынок и меня поразил тот факт, что в России этим никто не занимается, не смотря на то, что в США и Европе это развитая отрасль информационной безопасности. Сразу захотелось начать действовать в России. Потому что информационные технологии и Интернет общество развивается одинаково во всем мире, а ответственность за компьютерные преступления в России не так развита, соответственно это направление будет востребовано. Россия в области ИБ идет по стопам запада (к счастью и гордости некоторые наши методики по расследованию сейчас наоборот идут на Запад).
Быстро образовалась команда единомышленников. Мы доставали редкие западные методики по расследованию, практически сразу стала работать лаборатория. Почти сразу же появились первые заказы на расследование обстоятельств компьютерных преступлений. Очень быстро Group-IB поглотила нас полностью.
2. Какие именно услуги вы выделяете в рамках направления расследования инцидентов ИБ? (почему это интересно заказчикам?)
В предметной области мы выделяем:
- Расследование инцидентов (компьютерных преступлений): инцидент внутренний или внешний, как произошел инцидент, почему он произошел, что делать сейчас, кто с ним связан?
- Реагирование на инциденты и их мониторинг: в момент совершения инцидента как минимизировать ущерб, правильно собрать доказательства и не сделать лишнего? Как обнаружить инцидент?
- Компьютерная криминалистика: лаборатория компьютерной криминалистики –восстановление хронометража событий, поиск доказательств на носителях информации, восстановление данных и многое другое связанное с компьютерной криминалистикой.
- Юридическое сопровождение всех работ: т.к. все инциденты тесно связаны с компьютерными преступлениями важно выполнять и оформлять работы в соответствии с законом РФ, подключать правоохранительные органы и участвовать в оперативной, следственной и судебной стадии работ.
Заказчикам это интересно, т.к. сейчас в России никто адекватно и качественно не может предоставить эти услуги кроме нас. Это не хвастовство. Просто это так. Интеграторы привыкли продавать стандартные услуги, а к сложным, нелогичным и опасным (некоторым нашим сотрудникам часто угрожают) они не готовы. Так мы и находим наших заказчиков.
3. Большинство участников рынка не понимают “Расследование инцидентов” как услугу. Какие услуги пользуются наибольшей популярностью и почему? Приведите пример конкретной ситуации взаимодействия с Заказчиком. Желательно несколько кейсов. (без указания имен, конечно)
Да мы часто сталкиваемся с вопросом: «для чего нам расследование?». Эти вопросы задают люди, которые, к сожалению, не имели опыта реагирования на реальные и сложные инциденты, юридического сопровождения этих инцидентов и работы с правоохранительными органами.
Сейчас кратко расскажу о заблуждениях работников служб информационной безопасности:
“Расследование может провести служба безопасности”
Почему это является заблуждением:
- Каким бы профессионалом не был сотрудник службы информационной безопасности, он не может постоянно отслеживать правовые решения по компьютерным преступлениям, от которой зависит, как именно необходимо настроить систему журналирования в информационных системах и процедуру реагирования на инцидент информационной безопасности. Если все доказательства собраны только службой безопасности – они не имеют никакой силы.
- Для проведения расследования требуется специальное оборудование и программное обеспечение для компьютерной экспертизы, которое не так просто купить, и его стоимость порой очень высока.
- Расследование инцидента информационной безопасности может проходить до нескольких месяцев. При этом получается, что сотрудник, проводящий расследование, будет оторван от текущей работы, и его обязанности придется перераспределять среди других работников. А если штат недоукомплектован, или работники и так перегружены работой?
- Если инцидент произошел по вине или недосмотру службы информационной безопасности, то стоит ли ждать объективной оценки происходящего?
В общем, особенностей много и говорить об этом можно часами. Если провести условную градацию, то необходимость можно разделить на ту, когда есть прямой возврат инвестиций (можно даже рассчитать ROI) и когда расследование нужно провести в любом случае: необходимость по закону, требование акционеров, невозможность это сделать с помощью службы ИБ.
В 2010 году самыми популярными расследованиями стали: мошенничества в системах дистанционного банковского обслуживания (ДБО). Появились целые группы киберпреступников, занимающимися централизованной кражей ключей для систем ДБО и дальнейшей обналичкой денежных средств.
Кража денежных средств может быть произведена как вашими внутренними сотрудниками, так и абсолютно не имеющими к вашей компании людьми. И это первый вопрос, на который мы можем ответить. Кто украл ключи?
В большинстве случаев компрометация электронных ключей происходит с помощью вредоносного ПО, которое проникает через Интернет. Этот код обнаруживает, что на данном ПК ведется работа с системой ДБО, и осуществляет копирование ключей и логина/пароля пользователя, а затем передает данную информацию злоумышленникам. Кроме того, возможны случаи, когда перевод денежных средств осуществляется непосредственно с ПК жертвы посредством ПО для удаленного администрирования, также, установленного мошенниками через сеть Интернет. На скриншоте пример панели злоумышленника (кликнуть, чтобы увеличить).
Итак первоначально определяя как были украдены ключи, мы идем по цепочки дополнительных доказательств: DDoS атака, куда вирус отправлял информацию, кто загружал вирус, откуда он был загружен и по многим другим. Мы помогаем криминалистически верно зафиксировать факт кражи с точки зрения ИТ, а так же собираем достаточно информации, чтобы найти и на законных основаниях привлечь к ответственности преступников.
Так же из популярных расследований в 2010– DDoS атаки. Для заказчиков важно найти заказчика атаки. В реальном мире это означает нахождение исполнителя, привлечение его к ответственности и выяснение имени заказчика после оперативно-розыскных мероприятий.
Если начинается фишинговая атака на банк, то банк очень интересует – это целевая атака на банк или массовое явление. Далее интересует найти злоумышленников и параллельно с этим минимизировать воздействие на банк. Мы закрываем фишинговый домен, добавляем информацию об атаке в антифишинговые фильтры браузеров.
Если это опять же мошенничество в ДБО – то интересует, было ли это мошенничество клиента или действительно деятельность хакеров. Информация помогает улучшить систему безопасности.
Расследование инцидентов мы совмещаем с реагированием на инциденты и с мониторингом, поэтому в нашем случае эти услуги имеют смысл, отдачу инвестиций и пользуются популярностью.
4. Каковы возможные результаты вашей работы с Заказчиком? Чем обычно заканчивается работа? Что наиболее интересно вашим Заказчикам?
Расследования, это не только нахождение злоумышленников. Во многом это тонкий аудит скопромитированных систем на предмет того: а как получилось так, что инцидент произошел. Кроме нахождения лиц, причастных к инциденту заказчик получает рекомендации по улучшению систем ИБ . И эти рекомендации носят практический характер. Т.е. руководство компании не приходится убеждать что-либо менять, они сами понимают, что изменения в системе ИБ нужны.
Заказчикам интересно понять как произошел инцидент, правильно собрать доказательства, получить юридическое сопровождение расследований в правоохранительных органах.
Чаще после проведения одного расследования мы обеспечиваем постоянный мониторинг и реагирование на инциденты в режиме 24/7.
5. Не секрет, что на западе этот рынок очень развит. Расскажите об особенностях западного и российского понимания этого бизнеса?
Главная особенность рынка на Западе в том, что он синхронизирован с законодательством и мировоззрением населения. Все понимают, что такое ценность информации и что любое незаконное на её покушение – преступление. Не нужно часами доказывать следователю, что бот сеть это незаконно.
Россия пока от этого далека. Потребуется время и серьезные реформы, чтобы догнать прогресс. Но этот процесс неизбежен. Электронное правительство, интернет проекты – все это напрямую столкнет чиновников с киберпреступностью. А когда закон и мировоззрение населения достигнет правильного уровня, тогда и рынок разовьется.
6. Почему на ваш взгляд, в России этот рынок только начинает формироваться?
Ответ достаточно простой: потому, что Россия до сих пор не понимает, что такое компьютерное преступление. Мы ещё не научились защищать свои права в обычной жизни. Поэтому понять, что такое кража информации 90% населения сейчас сложно. Если говорить о корпоративном рынке, то есть укоренелое мнение, о котором я говорил выше – корпоративная служба безопасности может все сделать сама. А то, что оборудования для определенных видов экспертиз может стоить 200 тысяч долларов – это никого не интересует. Расследования проводятся непрофессионально и не имеют юридических перспектив. Сейчас только передовые западные и российские компании готовы к подобным услугам.
7. Как вы видите развитие этого рынка в краткосрочной и среднесрочной перспективе?
Если законодательство будет развиваться так же медленно, как и сейчас, то через несколько лет в сети Интернет победит киберпреступность. И уже о рынке будет говорить сложно. Я не шучу.
8. Каковы ваши планы на ближайшую и долгосрочную перспективу?
Сейчас мы запускаем несколько новых услуг, например защита бренда онлайн и Anti-phishing monitoring&Response, которые помогут в режиме реального времени обнаруживать угрозы против конкретного бренда: фишинг, мошенничество (продажа контрафакта от имени другой компании), черный PR и кибесквоттинг.
Что касается нашей защиты от DDoS, то сейчас мы готовы защищать от 25 ГБ/с атак, а уже к сентябрю будем держать 40 ГБ/с плюс защищать от сложных интеллектуальных атак.
Так же я вижу большие перспективы в дальнейшем развитии HoneyNet проекта, который дает нам аналитику по бот-сетям и другим кибер-активностям. Планируем и дальше закупать и создавать самостоятельно лучшее оборудование по криминалистике в нашу лабораторию.
Обязательно мы и наши партнеры будем лоббировать совершенствование законодательства в области компьютерных преступлений и компьютерной криминалистики.
Параллельно с этим будем развивать некоммерческие проекты, поддерживаемые государством: это популяризация темы борьбы с компьютерной преступностью.
9. Что вы пожелаете читателям моего блога?
Желаю всем хорошего настроения и крепкого здоровья. Ну и главное быть счастливыми. Все остальное приложится. Спасибо!
Спасибо Илья за интересную информацию.
P.S. Коллеги, если есть вопросы по теме, прошу писать в комментарии, Илья по возможности постарается ответить.
5825 . 2067
Другие записи
|
июля 28
|
Сегодня на CNews вышла статья «Защита персональных данных: пригодится ли нам британский опыт?», которую мы писали совместно с Алексеем Волковым.
Статья получилась более фундаментальной, чем обычно. В ней сравниваем международные законы и стандарты. Приходим к выводу, что они не применимы для российской действительности. Вернее смыла применять международные наработки в области персональных данных, просто нет. Слишком уж российский подход и нормативная база отличается от международного понимания этого вопроса.
Основным идейным вдохновителем был Алексей, за что ему большое спасибо. Отдельное спасибо за эту прикольную фотку, которую он сделал в последней командировке))).
P.S. Перед публикацией статью заметно порезали, так что если кому-то интересна полная версия, то ее можно скачать отсюда. По понятным причинам полная версия мне нравится больше .
6729 . 2125
Другие записи
|
июля 28
|
Год назад выкладывал ссылки на ресурсы по защите персональных данных. Судя по статистике, пользователи несколько раз возвращались на эту страницу, стало быть потребность в простом списке ресурсов действительно была. Конечно тема персональных данных по-прежнему остается флагманской, но далеко не единственной.
Блогосфера информационной безопасности растет и растет быстро. Появляются новые блоги и развиваются существующие. По сравнению с ситуацией двухгодичной давности, сегодняшнего количества блогов вполне достаточно для получения объективной информации по подавляющему количеству вопросов в области ИБ. А учитывая «разношерстность» контента и его авторов, любой может найти для себя что-то интересное. Кстати об интересном: многие действительно интересные ресурсы существуют давно, но о них мало кто знает. В причинах можно долго разбираться, а можно сделать просто список блогов по информационной безопасности и предоставить читателям возможность выбора.
За основу я взял довольно полный список блогов с www.iso27000.ru и дополнил несколькими ресурсами, которые там не указаны. Я специально исключил какую-либо классификацию, т.к. каждый ресурс уникален и четкие грани по тематике провести не всегда возможно (хотя в скором времени видимо придется ).
Список, естественно, не окончательный, если вы считаете, что какого-то ресурса не хватает или у него неверное описание, пишите в комментарии.
- http://xpomob.blogspot.com/ – Блог Ригеля.
- http://community.livejournal.com/personal_data Персональные данные. Правоприменение.
- http://hayrov.blogspot.com/ – Блог Игоря Хайрова.
- http://vazone.ru/wordpress/ Блог Евгения Родыгина. К сожалению Евгений перестал вести свой блог, зато успешно запустил несколько новых проектов, в частности: http://wikisec.net/ – Биржа труда специалистов по ИБ/ЗИ и http://wikisec.ru/ – Энциклопедия по безопасности информации.
- http://www.ispdn.ru – Ресурс по персональным данным от НПО «Эшелон».
- http://infowatch.livejournal.com/ – Блог одноименной компании Infowatch.
- http://amatrosov.blogspot.com/ Блог Александра Матросова.
- http://lukatsky.blogspot.com/ – Блог Алексея Лукацкого.
- http://www.iso27000.ru/blogi/aleksandr-astahov/ Блог Александра Астахова.
- http://www.iso27000.ru/blogi/stepanych Блог Степаныча.
- http://sgordey.blogspot.com/ Блог Сергея Гордейчика.
- http://adorofeev.ru/ Блог Александра Дорофеева.
- http://www.tsarev.biz/ Блог Евгения Царева.
- http://zlonov.blogspot.com/ Блог Тараса Злонова.
- http://www.securitylab.ru/blog/company/ Блоги организаций на securitylab.ru.
- http://www.securitylab.ru/blog/personal/ Личные блоги на securitylab.ru.
- http://www.secureblog.info/ SecureBlog.
- http://blog.bs25999.ru/ Блог компании Алмитек.
- http://bondarenko-alex.livejournal.com/ Блог Александра Бондаренко.
- http://malotavr.blogspot.com/ Блог Малотавра.
- http://dorlov.blogspot.com/ Блог Орлова.
- http://letablog.livejournal.com/ Блог компании LETA.
- http://www.securelist.com/ru/weblog Блог на портале Securelist.com.
- http://devteev.blogspot.com/ Блог Дмитрия Евтеева.
- http://www.iso27000.ru/blogi/oleg-bezopasnik/ Блог Олега Безопасника.
- http://anvolkov.blogspot.com/ Блог Алексея Волкова.
- http://blogs.technet.com/b/mamykin/ Блог Владимира Мамыкина.
- http://iso27000.ru/blogi/nebezopasnye-zametki-o-bezopasnom “Небезопасные” заметки о Безопасном.
- http://vladbez.spaces.live.com/ Блог Владимира Безмалого.
- http://kudin.net/r/ Блог Дениса Кудина.
- http://community.livejournal.com/securityblogru/ Сообщество в ЖЖ.
- http://community.livejournal.com/ru_infosec/ тоже Сообщество в ЖЖ.
- http://community.livejournal.com/ru_sysadmins/ тоже Сообщество в ЖЖ.
- http://community.livejournal.com/ru_root/ тоже Сообщество в ЖЖ.
- http://community.livejournal.com/businessecurity/ не совсем по теме, но пусть читатель решает.
- http://dementeeva.blogspot.com/ Блог Анны Дементьевой.
- http://professionali.ru/GroupInfo/636 Сообщество по ИБ на Профессионалах.ру.
- http://securitywiki.ru/HomePage проект “Открытая безопасность”.
Примерно так.
6592 . 2133
Последние комментарии