пятница, 11 ноября 2016 г.

Тяжела жизнь стартапа

Год назад в Сколково проводился конкурс стартапов по информационной безопасности. Большое жюри из огромного количества заявок отобрало 10 финалистов и в конечном итоге выбрало 3х победителей (описание проектов взял тут).  

В этом году, кстати, конкурс проходит снова и еще есть несколько дней, чтобы подать свою заявку (https://sk.ru/foundation/events/august2016/cyber2016/).  

Я решил попробовать проследить судьбу проектов, участвовавших в конкурсе в прошлом году. 

Тройка победителей

№ 1 (Первое место) 

IP PIER — система защиты от DDoS атак на сетевом уровне, так и от DDoS атак на уровне приложений;
(x) Сайта у проекта нет. За последние 6 месяцев не найдено ни одного упоминания в сети Интернет, связанного с этим проектом. Проект как самостоятельный стартап скорее всего мертв, технологии (возможно) стали частью других продуктов (возможно используются тут - https://www.skyparkcdn.ru). 

№2 (Второе место)

AwareDefense — система контроля качества защиты организации от целевыхкибер-атак;
(=) У проекта есть сайт (http://www.awaredefense.com/), но при этом не найдено никаких упоминаний за последние 6 мес. Судя по сайту проект все еще в стадии бета, в общем и целом проект выглядит застывшим. 

№3 (Третье место) 

AutoVisor - комплекс мониторинга и выявления угроз информационной безопасности бортовых автомобильных систем;
(x) У проекта нет сайта, не удалось найти никаких упоминаний в сети Интернет, связанных с этим проектом. Проект скорее всего мертв, единственный материал, найденный в Интернет, ведет на сайт компании НСБ (http://newsb.ru/)

---

Ну и все остальные: 

«СайтСекьюр» — облачный сервис защиты сайтов от потерь и простоев, вызванных интернет-угрозами. Сервис мониторинга безопасности сайта избавляет от проблем с вирусами, хакерами и обеспечивает работу бизнеса без потерь и простоев;
(!) Сайт проекта: https://sitesecure.ru/. Проект развивается, недавно привлек инвестиции от фонда ФРИИ. 

Factod — сервис для разработчиков по защите мобильных приложений с помощью IoT- и wearable-устройств;
(x) Никаких сведений о проекте найти не удалось. 

Dynamic Web — паутина динамических ключей;
(x) Никаких сведений о проекте найти не удалось. 

Limbo-couб — проактивная cистема обеспечения информационной безопасности Limbo обеспечивает интегрированную защиты от мультивекторных угроз, включающих кампании АРТ-класса, современное вредоносное ПО и атаки, эксплуатирующие уязвимости «нулевого дня»;
(x) Никаких сведений о проекте найти не удалось. 

Data-driven intelligent framework — интеллектуальная платформа обеспечения безопасности информации и управления событиями в больших сетях.
(x) Никаких сведений о проекте найти не удалось. 

«Безопасный интернет вещей» — универсальное и безопасное решение вопроса подключения Вещей к Интернету, посредством Controlled-UWB RF-технологии, обеспечивающей криптозащиту структуры радио-сигнала;
(x) Никаких сведений о проекте найти не удалось. 

R-Vision — программный комплекс автоматизированного контроля и мониторинга за состоянием информационной безопасности организации и поддержки специалистов в принятии решений по комплексной защите информации организации от компьютерных угроз;
(!) Проект активно развивается, подробности можно читать в этом блоге, а также на сайте компании. Сайт: http://rvision.pro


Вот такая вот занимательная статистика. 

P.S. Если меня читает кто-то из основателей этих проектов и вы нашли здесь неточности, смело пишите в комментариях к этому посту.

P.P.S В этом году Команда R-Vision участие в конкурсе принимать не планирует. 

среда, 9 ноября 2016 г.

Поговорим о реагировании на инциденты

Это уже практически избитая истина, что все компании делятся на 2 типа: одни знают что их взломали, другие еще нет. Неприкасаемых, неуязвимых больше нет. Более того, вся логика последних дискуссий и все тренды в области регулирования вопросов информационной безопасности движутся от парадигмы "надо построить мощную защиту, бастион и тогда все будет хорошо", на "предотвратить проблемы невозможно, но нужно уметь оперативно с ними разбираться с целью минимизации последствий / ущерба". В этой парадигме одним из ключевых становится возможность (готовность) компании оперативно реагировать на те или иные внешние или внутренние события (инциденты). 

Вроде все не ново, описано уже много раз в различных стандартах под блоком "Управление инцидентами". Но как оно иногда бывает, умное, вроде, слово размывает конкретику. Процессы безусловно надо выстраивать, документы писать, процедуры прорабатывать, роли распределять и проч. Но это обретает практический смысл только если находит свое отражение в повышении эффективности команды реагирования и в оперативности принятия ответных действий на зарегистрированный инцидент. Иначе как в известной шутке:

- Чем в вашей компании занимается директор по развитию ?  
- Ну как, чем ? Следит за развитием событий. 

К чему я все это ?  А к тому что мы в команде R-Vision за последнее время провели немалую работу и готовы представить вам платформу R-Vision Incident Response Platform, которая предназначена как раз для повышения эффективности команды реагирования и координации всей деятельности по обработке инцидентов информационной безопасности. 

Хотите узнать подробности ?   Подключайтесь к вебинару - 


И обязательно приходите к нам на стенд на SOC-Forum v2.0. 

вторник, 8 ноября 2016 г.

А виноваты во всем будут.....хакеры

Сегодня выборы в США. В ходе предвыборной компании прошло немало знаковых моментов, касающихся нашей отрасли. Чего стоят обвинения в адрес правительства России о спонсировании хакерских атак на Белый дом, подтверждениями чего являются результаты слежки с использованием закладок (иплантов) в программном и аппаратном обеспечении, последующие угрозы об ответной кибератаке и даже информация в прессе о том, что якобы американские военные хакеры уже вторглись в российские коммуникационные сети и только ждут сигнала.  Но поговорить я хотел не об этом.  

В последнее время слова "хакеры", "кибератаки" и прочее на слуху. На федеральных каналах стали все больше рассказывать про различные проделки тех или иных преступных или идейных (вроде анонимусы) групп. Вся проблема в том что в электронном мире доказательства очень сложно предъявить широкой общественности и еще проще подделать. Это не те улики, которыми можно размахивать в суде, все намного тоньше. И именно поэтому у многих компаний появляется очень серьезный соблазн свалить все на вездесущих хакеров (не важно какой национальности). Вы, скажем, провайдер какого-нибудь онлайн-сервиса. Из-за бардака в вашей компании в какой-то момент у вас все падает, сервис недоступен. Признаться всем что у вас бардак как-то не комильфо, клиенты могут разбежаться. Можно всем сказать что вас жестко DDOS-или, но вы самоотверженно сражались и, в конце-концов, победили злодеев и сервис снова начал работать. Куда ведь круче звучит, правда ? Нужно вам уничтожить какие-нибудь данные, вы их удаляете, а потом утверждаете что к вам залезли все те же хакеры и все потерли. А где доказательства ?А нету, логи не велись, а если и велись, то следы ведут куда-то в условную куалу-лумпур, и кто его знает кто там сидел за несколькими проксями. Все, концы в воду. Очень привлекательно. 

Я не удивлюсь если за приличной долей "инцидентов" на самом деле скрываются исключительно собственные проблемы компаний. А теперь обратно к выборам в США, единственной (насколько мне известно) стране, где не используют бюллетени и все голосование идет через компьютерные системы.  Что мешает любому из кандидатов (хотя понятно что в первую очередь судя по риторике это относится к госпоже Клинтон) заявить что результаты выборов нелегитимны, т.к. есть уверенность, что вездесущие русские хакеры пролезли в компьютеры США и все там накрутили за другого кандидата. Понятно что для этого нужны будут доказательства, а что мешает взломать самим себя в ограниченном объеме собственными хакерами, чтобы иметь возможность потом сказать что компьютеры системы выборов были скомпрометированы ?  А ничто не мешает.  В этом то и проблема. 

P.S. Поверить в целенаправленный взлом и манипуляцию можно будет пожалуй только если в выборах победит В.Путин :) 

вторник, 1 ноября 2016 г.

Не пора ли начать активнее обмениваться информацией ?

Отрасль информационной безопасности очень закрытая, хотя, конечно, многое меняется в последнее время. Думаю все мы знаем какое существует огромное количество закрытых и не очень форумов, на которых кибер-преступники обсуждают уязвимости и инструменты взлома, делятся рекомендациями, предлагаю друг другу услуги и проч.  

А есть ли что-то подобное на светлой стороне силы ?  Ну не густо, скажем прямо. Куда податься за советом безопаснику ? 
  • Форум безопасников на bankir.ru. Есть полезные дискуссии, но конечно же большая часть относится чисто к банковской сфере и в основном обсуждают вопросы, связанные с соблюдением требований. 
  • Сообщество RISSPA в LinkedIn. Это конечно не единственная дискуссионная группа, но, пожалуй, единственная более-менее живая. 
  • Форум SecurityLab. Форум с техническим уклоном, тут много про уязвимости, хакинг, кодинг и проч.
Вот наверное и все площадки. Да, есть какие-то еще форумы, но в большинстве там все уныло. Я возможно о каких-то площадках не в курсе, напишите в комментариях, если знаете еще что-то стоящее.  

Да, у нас есть довольно активная блогосфера. Сравнивая с соседними странами, да и даже с западными странами, у нас все в целом довольно живо в плане блогерства. Но блоги это особый формат, это общение между автором блога и его читателями. Это не дискуссионная площадка в широком смысле. 

Это все с одной стороны.  С другой, государство активно подталкивает к тому, чтобы компании рассказывали об инцидентах информационной безопасности, как минимум регуляторам. Тут вам и FinCERT, тут и ГосСОПКА и заявления представителей ФСТЭК и ФСБ о возможных новых нормах об уведомлении. Прибавим к этому новые европейские нормы, также предписывающие уведомлять регулятора об инцидентах с персональными данными. 

Но уведомлять то это еще пол дела. Польза в этом только разве что регулятору. А где обмен информацией внутри отрасли ?  Как мне сообщить коллегам по цеху полезные сведения о схемах мошенничества, о признаках атаки, которой я подвергся ?   В рабочем порядке, тет-а-тет ?

Вакуум рождает полу-легальные схемы. На пример тот же клуб Анти-дропер, неофициальное название, периодически всплывало на некоторых банковских тусовках. Клуб, в рамках которого участники делятся информацией, которая помогает бороться с мошенниками и дропперами.  Думаю что есть еще что-то подобное, не особо афишируемое, ибо не совсем законное с точки зрения в первую очередь 152-ФЗ. 

Как быть ?  Вопросов больше чем ответов.  Чем не повод для дискуссии на SOC Forum 2016

До встречи на мероприятии и успехов в нелегком труде по отражению атак кибер-преступников !