понедельник, 29 июня 2015 г.

Избавляемся от легко угадываемых паролей

Пароли, сколько их уже хоронили, сколько говорили про то, что они ненадежны, они все равно остаются основным средством аутентификации. 

Практически любой пентестер подтвердит, что в рамках работ по взлому он сталкивается с ситуацией нахождения учетных записей, у которых установлен пароль вроде p@ssw0rd или 123456.  Сам помню как в одном случае мы наткнулись на учетную запись с паролем secret (абсолютно реальный случай), которая давала админский доступ как минимум к половине всей инфраструктуры заказчика. 

С такими же проблемами сейчас сталкиваются и онлайн-сервисы, большинство обычных пользователей используют очень простые пароли, что дает возможность злоумышленникам легко получить доступ к нужным аккаунтам. 

Вот, к примеру, Dropbox недавно в очередной раз заблокировал большое количество слабых паролей пользователей сервиса. На мой взгляд это очень правильная профилактическая мера, но как ни странно я что-то не знаю ни одного ИБ-продукта, в котором бы присутствовала функция обнаружения и блокировки слабых учеток. 

Понятно что можно запустить сканер, потом посмотреть отчет, найти виновных и прочее, но ведь было бы значительно проще запускать периодически скрипт, который будет искать учетки со слабыми паролями и менять их на какой-то один сложный, но известный пароль.

Конечно тут есть свои минусы, что увеличится количество обращений в техподдержку с просьбой сбросить пароль, возможно перестанут работать какие-то скрипты, но ведь тут получается классическая дилемма, либо безопасность как должно быть, либо все как придется, дыры в системе, угроза взлома и проч. 

Конечно не стоит рубить с плеча, можно же начать в режиме просто поиска таких учеток, а потом в какой-то момент перейти на принудительный сброс пароля. 

В общем, мне кажется, что это правильная практика, и безопаснику стоит ее при определенных обстоятельствах включить в свой арсенал. 

Теперь о том как это можно сделать.  

1) Необходимо сформировать набор логинов и  паролей, которые будем проверять. Логины берем из AD, пароли из типовых справочников, вроде того что опубликовал тот же Dropbox.

2) Проверку учеток можно сделать, например, с использованием nmap и плагина smb-brute

3) С блокировкой сложнее, готовых инструментов нет, тут придется писать свои скрипты, либо для bash, либо bat-ник, либо плагин на языке nmap.  Для установки пароля нужно всего лишь выполнить команду net user <текущий пароль> <новый пароль>. Как вариант можно воспользоваться плагином nmap - smb-psexec

четверг, 25 июня 2015 г.

Создаем положительный имидж службы ИБ

Тема, что безопасник в компании как правило воспринимается как тот кто все запрещает, всем мешает и за всеми следит, поднимается уже давно. Много дискуссий идет на тему того как общаться с ИТ, как общаться с ТОП-ами, как общаться с сотрудниками.  

На мой взгляд подразделению ИБ необходимо серьезно задумываться над созданием положительного имиджа, а создать его можно в том числе проявляя заботу о сотрудниках, выходя за рамки должностных обязанностей. 

После того как мы в свое время в компании LETA запустили проект "Так Безопасно" мы получили позитивный отклик от клиентов, которые рассказывали о том, что рассылка полезных информационных материалов и использование баннеров с элементами юмора помогли им показать с позитивной стороны деятельность службы ИБ.  

А вы делаете рассылки по сотрудникам ?  Рассказываете им о том как защитить свою личную информацию, как не стать жертвой многочисленных сетевых мошенников ? 

А ведь личная безопасность сотрудника (точнее ее нарушение) может повлияет и на корпоративную безопасность. Ведь так ? 

Вот сейчас по сети активно гуляет тема, связанная с тем, что мошенники крадут доступ к почте, отправляя поддельные SMS. 

А ваши сотрудники об этом знают ?  А? 

А? 














В качестве источника для материалов для рассылки можно использовать как различные новостные ресурсы, так и разного рода дайджесты, вроде того, что мы делаем в R-Vision.

P.S. Если среди читателей моего блога есть те, кто практикует подобные вещи у себя в компании, то поделитесь в комментариях своим опытом. Как это работает у вас ? Какой эффект дает ?



вторник, 23 июня 2015 г.

R-Vision теперь участник Сколково

Хочу поделиться новостью.  Открываем новый этап в своем развитии. 

На самом деле все оказалось не так уж и сложно как может показаться. Хотя возможно нам просто повезло, я общался с коллегами, которые отправляли свои запросы много раз, кто-то в итоге проходил, а кто-то так и не смог пройти экспертный фильтр. В общей сложности у нас весь процесс занял около 5 месяцев. Заявка прошла отбор с первого раза.  

Теперь у нас новая компания - ООО "Р-Вижн", немного скорректированный концепт развития продукта и большие планы на ближайшее и далекое будущее. Осенью готовим большой релиз, так что следите за новостями :) 

понедельник, 15 июня 2015 г.

Комментарии по методике ФСТЭК по определению актуальных угроз ИБ

Специалисты ФСТЭК уже достаточно давно опубликовали проект методики определения актуальных угроз ИБ с целью сбора предложений от общественности и на прошлой неделе (10 июня) истек срок сбора этих самых предложений. 

Судя по большому количеству сообщений в блогосфере, этот документ в отличие от предыдущего проекта обновленного 17-го приказа вызвал куда как более активную реакцию. Будем надеяться что не зря. 

Что пишут коллеги: 

В основном отзывы по методике положительны и многие отмечают что по ней можно жить и работать. Я же со своей стороны хотел бы обозначить ряд фундаментальных проблем, заложенных в документе, которые не позволят ему стать реально практичным инструментом.

Тут конечно важный вопрос что преследует регулятор. Вот, например, методика оценки рисков РС БР ИББС-2.2 абсолютно теоретична, на практике проводить оценку рисков как описано в этой методике можно только с одной целью - распечатать и положить в стол. Никаких реальных решений по обеспечению безопасности на основании такой оценки принять нельзя. Именно поэтому нам при разработке модуля по управлению рисками для системы R-Vision пришлось выкручиваться и пытаться совместить формальный подход с реальными потребностями и необходимостью практического применения результатов оценки рисков в банке.  

Говоря о методике ФСТЭК, я хочу показать аналогичные ключевые проблемы, которые могут привести к тому, что оценка будет делаться только ради оценки и ради бумажки и никак на практике не будет помогать в обеспечении реальной защищенности систем. Если это то, что хочет регулятор, ну тогда ок, методика годится, если же нет, то.... 

Проблема № 1. Методика предлагает использовать базу угроз ФСТЭК, но описание угроз в этой базе не соответствует тому как они описаны в методике. Нет связки между угрозами и уязвимостями, более того база ФСТЭК содержит только технические уязвимости, а как же быть с организационными ?  Разве утечка информации происходит из-за какой-то технической уязвимости ?  Или случайное удаление информации легитимным пользователем ?  Ну и попытка связать все угрозы из базы ФСТЭК со всеми уязвимостями (и потом еще актуализировать постоянно) - это просто титанический (а точнее будет сказать сизифов) труд. 

Проблема № 2. Методика расчета уровня исходной защищенности и порядок определения актуальности угроз информационной безопасности составлены таким образом что практически все угрозы станут актуальными для большинства систем. Так что вообще оценка получается как бы не сильно нужна. Об этом хорошо написал Сергей Борисов в своем блоге. 

Проблема № 3. При расчете вероятности методика предлагает в первую очередь опираться на статистику. Ну тут что еще сказать, есть ложь, грубая ложь и статистика. Ставить ее во главу угла как минимум некорректно. Статистика может быть одним из критериев, но не главным определяющим.

Проблема № 4. При расчете вероятности методика никак не учитывает эффективность имеющихся защитных мер. Я всегда был противником того, чтобы рассматривать при оценке не реальную систему как она есть, а нечто эфимерное, предполагающее что нет никаких защитных мер. Похоже что методика предлагает действовать именно так. 

Все что я написал тут я также изложил в документе, который отправил во ФСТЭК 9 июня (скачать можно тут).

Посмотрим что из этого получится, первый раз за последние несколько лет пишу свои предложения регулятору.  Мне, кстати, так и не пришел никакой ответ относительно того получены ли мои замечания. Буду надеяться что письмо дошло. А как у вас, коллеги, был какой-то ответ от ФСТЭК тем кто писал свои замечания ?