среда, 11 мая 2016 г.

Семинар CISCO в Красноярске. Выступление Алексея Лукацкого

Добрый вечер, дорогие читатели! Сегодня я наконец-то добралась до своих заметок с семинара CISCO, который прошел еще 5 апреля. Первый приезд Алексея Лукацкого в Красноярск - событие знаковое, так что лучше написать позже, чем никогда. 
Место проведения семинара было довольно предсказуемым, так как практически все выездные семинары у нас проходят в Хилтоне: обстановка, обед, кофе-брейк - все отлично. Единственным минусом было отсутствие откидных столиков, поэтому писать приходилось в буквальном смысле на коленках. Но это мелочи, так как мы-то сидели и писали, а Алексей с 10 до 18 рассказывал, один, по делу и с юмором. Такого у нас еще не было!
Еще в начале мероприятия я решила, что буду делать два вида заметок: по вопросам ИБ и по стилю выступления. Думаю, что Вам пригодится все, поэтому выкладываю.

О докладе
1. Алексей выделил три основных направления ИБ: угрозы ИБ, современные технологии (беспроводной и мобильный доступ, облака) и требования законодательства (compliance). Причем отметил, что в последнее время подход регуляторов стал более гибким (не всех :)). В контексте этих направлений и рассматривались далее представленные технологии.
2. Мне запомнились цифры - стоимость взлома аккаунта FB 1$, стоимость DDoS атаки - 7$. Очень демократичные цены, что называется - любой может себе позволить. Интересно при этом, что среднее время обнаружения вторжения обычно составляет более 200 дней. 
3. Понравился пример самой действенной атаки на предприятие - разбрасывать перед входом в здание зараженные флешки. Думаю, это действительно хорошо работает.
4. Алексей отметил причины, по которым злоумышленников становится поймать все труднее:

  • постоянно меняются IP адреса вредносных сайтов, они становятся сайтами-однодневками, что сводит эффективность ведения черных списков практически к нулю;
  • активно используется шифрование, вымогатели до сих пор популярны;
  • названия плагинов меняется до 4-5 раз в сутки;
  • применяется социальная инженерия.
5. Песочницы не всегда могут спасти ситуацию. С помощью методов социальной инженерии, используя, к примеру, фишинговые рассылки, можно получить вполне легальный доступ внутрь системы.
6. Большинство атак происходит через e-mail.
7. 68% организаций не мониторят DNS, из-за чего вредоносный код долго остается незамеченным.
8. Полезным для меня было узнать, что на сайте CISCO можно найти отчет по безопасности на русском языке (ссылка).
9. Впервые услышала от Алексея о Гособлаке, а оказывается это активный проект (ссылка). Интересно, как будет организована защита такого объекта, который, без сомнения, будет лакомым кусочком для многих злоумышленников. 
10. Мне запомнился термин "депериметризация" - отсутствие границы контролируемой зоны, конкретных точек, размытость границ. Действительно, учитывая распространение технологий мобильного доступа, контролируемую зону представить как границу на карте становится все сложнее.
11. "В России не хватает специалистов по информационной безопасности". Здесь я бы поспорила, по-крайней мере в Красноярске таких вакансий очень немного (к примеру, сейчас на росработе нет ни одного предложения, обычно их количество не превышает 2-3 вакансий). Найти работу по специальности - реальная проблема для выпускников, которых у нас готовят аж два университета. Еще пять лет назад выпускалось 3 группы ежегодно (а это около 75 человек), что для Красноярска более, чем достаточно.
12. Как отметил Алексей - с 2015 года для CISCO главным приоритетом является ИБ. Используется понятие "повсеместная безопасность" - единые политики везде, возможность охвата всех технологий CISCO.
13. 100%-ная безопасность невозможна, но к этому стоит стремиться.
14. Что лучше: зоопарк или целостная система? (в вопросе кроется ответ :) По словам Алексея разные СЗИ не умеют взаимодействовать между собой. Да и не только по словам, кто занимался установкой и настройкой средств защиты у клиента, думаю с этим согласятся. У меня лично до сих пор остались травматичные воспоминания об установке СекьюритиСтудио образца 2010 года.
15. Хозяйке на заметку. SSL лучше реализовывать на отдельном устройстве - балансировщике нагрузки. 
16. На взлом уходит пара минут, а результаты не будут обнаружены месяцами.
17. В качестве мер защиты от взлома предлагались Private Cloud, Threat Grid (анализ файла по признакам вредоносности), Cisco Threat Awareness Service (на русском найти документацию не удалось, на английском вот), анализ репутации сайтов без анализа контента (время регистрации домена, IP, страна), контроль ссылок в электронной почте, защита исходящей почты и ограничение количества исходящих и др.
18. В 2016м стоит ожидать новый 17 Приказ ФСТЭК (первое полугодие). ФСТЭК поставил перед собой задачу унификации мер (ПДн=ГИС=АСУТП). Будут добавлены: управление потоками, безопасность мобильных устройств.
19. Основных причин заниматься ИБ для компаний три: страх перед угрозами (неактуально в кризис), выполнение требований законодательства и экономика. Задача безопасника - показать экономическую выгоду использования мер защиты (например, рассчитав стоимость простоя).

О выразительных средствах доклада
1. Использование картинок и визуальных эффектов;
2. Метафоры и примеры из жизни в докладе;
3. Небольшое количество текста на сайте;
4. Активное применение цвета в презентации;
5. Озвучивание цифр;
6. Применение инфографики;
7. В начале обозначается проблема, затем упоминаются новые термины. Только после подробного изложения ЗАЧЕМ переход к КАК РЕШИТЬ.
8. Привязка к насущным событиям. Накануне произошедший инцидент со сливом Панамской базы упоминался в качестве примера.
9. Ну и конечно, посмотрите оригиналы презентаций: здесь.

Вот вкратце все, что я хотела рассказать Вам о семинаре CISCO. Мне мероприятие понравилось по многим причинам. Во первых, удалось пообщаться Алексеем оффлайн (а в прошлом году нас посетил Андрей Прозоров). Во-вторых, в Красноярске все чаще проходят ИБ-мероприятия. В-третьих, в докладе было много действительно полезной информации. Так что ждем Алексея снова, может быть, на Коде ИБ в сентябре? ;)

Алексей Лукацкий и Ксения Шудрова. Фото из личного архива автора
http://vk.com/kshudrova - ссылки на свежие посты, интересные материалы других авторов, новости мира по ИБ и ответы на вопросы читателей.