Minutka Deanona, mein Name ist Anatoly Makovetskiy, ich bin Sicherheitsteamleiter bei Exness.
Ich werde mich sofort bei denen entschuldigen, die eine technische Zusammenfassung erwarten, sie wird nicht hier sein. Das Material beschreibt auch Dinge, die auf den ersten Blick so offensichtlich sind, dass es nicht einmal eine Tatsache ist, dass sie so sind, aber Sie können mich vernünftigerweise fragen, wie ich eingestellt wurde und wann ich aufhören werde, so zu tun, als wäre ich sicher (Antwort auf dem Bild unter dem Schnitt).
Sie fuhren.
Bild: Telegrammkanal Informationssicherheits-Memes (https://t.me/infosecmemes)
Meine früheren Berufsjahre waren von Technologieunternehmen geprägt, und als Spezialist für Informationssicherheit habe ich ... Informationen (Kappe) geschützt, obwohl ich gewartet habe, wenn Verstehen Sie, wie es in unserer Branche üblich ist, dass es manchmal eine gute Mischung aus Systemschutz gab, ohne großen Unterschied, welche Art von Informationen sie enthalten, wie wichtig diese Systeme für das Geschäft sind, ob es jetzt etwas Wichtigeres gibt und andere Konventionen.
Stimmen Sie zu, es ist so cool, wenn kein striktes Management, gut ausgebaute Prozesse, klare Prioritäten und anderes Glück fehlen, von System zu System springen, schöne Fehler an der Oberfläche finden oder auf der Grundlage der neuen Forschung eines anderen oder Ihrer eigenen Erfahrung etwas tiefer gehen und beeindruckende Verwendungsmöglichkeiten zeigen. Auf diese Weise können Sie wirklich einen Dialog mit anderen IT-Teams aufbauen und Glaubwürdigkeit erlangen. Irgendwo wurde ich an den falschen Ort gebracht ...
Ja, das ist richtig, echte Informationssicherheit basiert auf Prozessen, ISO, 27k in den Zähnen und hat die Köpfe der IT und des Top-Managements herausgenommen, wir werden alles erzählen, wir werden alles erklären, rechtfertigen und zeigen, niemand wird schließlich streiten, es ist notwendig, aber werden unsere Prozesse in den Bereichen mit der Einführung des nächsten Standards besser?
Tatsächlich lautet die Botschaft, dass Sie versuchen müssen, zur Grundidee
überzugehen , einen umfassenden und ausgewogenen Schutz wertvoller Unternehmensressourcen zu erreichen und die Sicherheit nicht zu „patchen“, sonst sieht es so aus: Foto: S.66.ru
Sie sind ich Es tut mir leid, dass es auf beiden Seiten so extreme Beispiele gibt. Ich verstehe, dass dies nicht auf den Punkt gebracht werden kann, aber nach meiner eigenen Erfahrung wurde ich genau wie oben beschrieben von einem Extrem zum anderen getragen, und ich hoffe zutiefst, dass es hier ein anständiges erwachsenes Publikum gibt und meine Erfahrung ist vor Ihrem Hintergrund unbedeutend, da ich mit dem vollständigsten Papier in seinen schlimmsten Erscheinungsformen begann und mich dann reibungslos durch die IT in praktische Bereiche bewegte, so dass ich von einem Extrem zum anderen eilte und diejenigen sah, die in diesen Extremen neben mir saßen. Ich war dort also nicht allein und werde eines bemerken:
, , , , :
- , ( ), , , , , ;
- , - , , , , .
Beide Ansätze haben ihre positiven Seiten, da eine unzureichende Beachtung jedes einzelnen ihre eigenen Risiken birgt, aber die Wahrheit im Gleichgewicht ist, andernfalls wird Sicherheit aus Sicherheitsgründen irgendwo in der Nähe des sehr kugelförmigen Pferdes in einem Vakuum erreicht. Hier kommen wir zu einem weiteren offensichtlichen Beweis:
- Informationssicherheitsbeauftragte ertrinken, weil sie alles und jeden schützen müssen, oft ohne echte Prioritäten zu setzen, und freuen sich über jede Gelegenheit,
jemanden öffentlich zu lynchen, der stolz die Augenbrauen runzelt, um sich zu beweisen, wenn jemand gegen einen gebauten oder unvollendeten Prozess verstößt. - Praktische Sicherheitskräfte konzentrieren sich häufig darauf, Schwachstellen überall zu vermeiden, da dies möglicherweise die gesamte Umgebung gefährdet, aber auch Priorisierungslücken aufweist, die einem anfälligeren System eine höhere Priorität einräumen als einem empfindlicheren, aber weniger anfälligen.
Hinweis: *
, , , .
Oft verlassen wir uns auf die Erfahrung eines anderen, auf die Prioritäten eines anderen, die wir irgendwo lesen, die nicht immer falsch und unangemessen sind, aber oft nicht optimal genug für bestimmte Bedingungen aus der Kategorie Schnellstart, was manchmal dennoch gerechtfertigt sein kann, wenn Tumbleweeds und Drachen kreisen herum und sind offensichtlich besser als nichts, aber das Geschäft lebt inzwischen von alleine.
Was ist übrigens mit dem Dialog zwischen Geschäft und Sicherheit? Meiner tiefen Meinung nach versuchen wir (Sicherheitspersonal) sehr oft, dem Unternehmen zu verkaufen, was es nicht versteht, was es nicht wirklich braucht und was nicht sehr viel damit zu tun hat, oder wir versuchen nicht einmal, etwas zu verkaufen. Das heißt, unsere Argumentation als Vertreter der Sicherheit basiert auf den Ideen und Grundlagen unserer eigenen Branche, von denen das Geschäft möglicherweise sehr weit entfernt ist, und wir müssen in verständlicher Sprache und vernünftigerweise motivieren, dann ist der Effekt vorhersehbarer, längerfristig und die Beteiligung der Unternehmen ist höher. Letztendlich sollten wir für das Budget zum Geschäft gehen, egal wie sehr wir wollen, dass es umgekehrt ist :)
Warum brauchen Unternehmen uns überhaupt? Manchmal wird Sicherheit für die Show benötigt, da dies einfach erforderlich ist. Lassen Sie uns solche Fälle verlassen und über Fälle sprechen, in denen Sicherheit aufgrund des Verständnisses der Notwendigkeit auftritt. Das richtige Unternehmen möchte, dass
Zunächst müssen Sie verstehen, wie das Unternehmen auf diese Weise Geld verdient, was es tut und wonach es strebt, und dann mit aller Kraft, es zu schützen. Wenn ein Unternehmen Hühner züchtet, die Eier legen und als Nahrung auf den Tischen freundlicher Menschen landen, dann schützen wir die Hühner, ihre Eier, die Prozesse um sie herum und die Art und Weise, wie sie an die Tische geliefert werden. Wenn sich das Unternehmen mit Big Data beschäftigt, sollten wir dieses sehr große Datum, Computer, Rohdaten, Algorithmen und alles, was damit verbunden ist, schützen.
Zu meinem großen Bedauern kommt daher in der Praxis nur ein kleiner Teil der Kollegen im Geschäft dazu, die schwache Effizienz eines mit dem Geschäft unvereinbaren Ansatzes zu erkennen und anschließend ein Arbeitsmodell für die Arbeit an Geschäftsprioritäten umzusetzen. Und was ermöglicht es uns, echte Bedrohungen zu identifizieren? Das ist richtig, sie zu modellieren.
Lassen Sie uns einen Moment beiseite treten und uns den gesamten Prozess der Bedrohungsmodellierung so vorstellen, wie ich ihn sehe:
- Wir definieren die wertvollen Vermögenswerte des Unternehmens, und die wertvollen sind diejenigen, deren Verletzung nach Erfahrung letztendlich zu Verlusten führt, die sich erfahrungsgemäß direkt oder indirekt auf finanzielle Vermögenswerte beschränken, wenn es sich um ein Handelsunternehmen handelt. Hier erhalten wir in der Regel diese oder jene Informationen, die wir aus eigenem Interesse oder aus regulatorischen Gründen schützen müssen. Ich hatte keine Chance, in Goldminen zu arbeiten, vielleicht gibt es überhaupt keine Informationen.
- Wir ordnen diese wertvollsten Vermögenswerte ein, um Prioritäten zu setzen.
- , , , , , ( , - , , , , ).
- .
- , , , , , , .
- .
- , **, .
: **
. , , .., , , , , , , , , .
Aus Erfahrung hatte ich früher immer Informationen mit dem geschützten Vermögenswert, dies war genug, um Schutz aufzubauen, aber als ich zu Exness kam und anfing, ein Modell zu entwickeln, das lokale Besonderheiten berücksichtigt, konnte ich mich nicht von dem Gefühl trennen, dass etwas fehlte, dass etwas dann wird das Wichtige übersprungen, bis es mir dämmert (ja, lach mich aus, der Sicherheitsbetrüger, der diesen Beitrag schreibt, und die Offensichtlichkeit dessen, was passiert):
"In Fintech steckt Geld."
Jedes Unternehmen hat Geld. Jedes Unternehmen zahlt zumindest früher oder später Löhne an Mitarbeiter, mietet ein Büro, übt eine wirtschaftliche Tätigkeit aus und leistet Arbeit für die Buchhaltungsabteilung. Dies läuft jedoch darauf hinaus, ein Bankkonto zu haben oder zusätzlich zu einem in die Website integrierten Zahlungssystem Aber Fintech hat echtes Geld, während externe Benutzer damit arbeiten, und ein großer Teil der Operationen damit ist automatisiert. Hoppla ...
Stellen wir uns nun vor, dass Sie neben einer Reihe von geschäftsrelevanten und anderen geschützten Informationen, einschließlich Krediten und Schlüsseln aus dem Internet-Banking, die jeder hat, und auch über Geld, zumindest echtes Geld von Kunden haben, die sie verdienen auf Ihre Konten in Ihren Systemen. Das heißt, innerhalb von Systemen sind dies die gleichen Informationen wie alles andere, aber tatsächlich ist es Geld, das in Informationen und zurück an die Grenzen von Systemen umgewandelt wird, aber Sie sollten sie nicht als gewöhnliche Informationen behandeln.
Das Bild unten ist ein Diagramm des Informationsflusses eines unserer Produkte :)
Bild: Walt Disney Television Animation der Serie „DuckTales“
Die Abkehr von dem Paradigma, dass wir nur Informationen schützen, ermöglichte es auch, eine andere Art von wertvoller Ressource zu verstehen, die ich zuvor vernachlässigt hatte, die jedoch in jedem vorhanden ist, obwohl sie eher zweideutig ist - eine Beziehung, die eine Partnerschaft mit einem Kunden / Verkehrsanbieter sein kann, oder mit einem Kommunikations- / Sicherheits- / Infrastrukturdienstleister. Natürlich, bevor ich dies immer implizit in Betracht gezogen habe, aber im Zusammenhang mit der Implementierung einer Bedrohung in einem Vakuum aus der Kategorie Business Continuity Plan und Disaster Recovery Plan, und hier hat es sich im Bewusstsein in ein voll bewusstes Gut verwandelt, das es wert ist, identifiziert und geschützt zu werden, was unsere Abdeckung erweitert Wie wir uns in dieser Hinsicht nicht nur von bekannten Bedrohungen, sondern auch vom Vermögenswert selbst, wie von einem Objekt, das möglicherweise unbekannten Bedrohungen ausgesetzt ist, zu bewegen beginnen, aber darum geht es jetzt nicht.
Wenn Sie genauer hinschauen, können Sie Geld von allen Seiten sehen:
- Zumindest gibt es alle die gleiche wirtschaftliche Aktivität wie in jedem anderen Unternehmen.
- Es gibt Produkte, die sich auf Finanztransaktionen und die Geschwindigkeit ihrer Implementierung beziehen und die die wahre Logik des Ein- und Ausstiegs von Geldern enthalten, dh Geld kann nicht in einen entfernten Safe verbracht und nur einmal am Tag nach einer besonderen Zeremonie mit "Bögen" betrachtet werden. und komplett "ausziehen". Sie müssen in Systemen gesteuert werden, und je schneller, desto besser für das Geschäft.
- Es gibt eine Vielzahl verschiedener Zahlungssysteme und anderer Tools, von denen jedes seine eigene Implementierung von Interaktions-, Einschränkungs- und Integrationsfunktionen hat.
- Es gibt eine Infrastruktur, in der die Produkte betrieben werden.
- , ; , ; , ; , - .
- , .
Infolgedessen gibt es eine große Anzahl von Verbindungen von Assets, Systemen, Benutzern, Mitarbeitern, Partnern, Prozessen, und in der Regel erhalten wir die Hauptbedrohungen an den Verbindungen, und zusätzliche Verbindungen erzeugen neue Bedrohungen.
All dies bedeutet, dass nicht nur die Informationen oder Daten, die den Informationssicherheitsbeauftragten bekannt sind, an der Wurzel liegen, sondern auch Vermögenswerte anderer Art wie Geld, die angesichts eines solchen Ausmaßes an "Katastrophen" nur schwer ausschließlich auf Informationen und Daten zu übertragen sind, die uns allen bekannt sind. Die Implementierung einer Bedrohung gegen eine vertraute Art von Informationen führt nicht immer zu Schäden, und im Falle von Geld hat jede Transaktion einen bekannten und eindeutigen Mindestwert, insbesondere wenn es sich um einen relativ schnellen Übergang handelt, der sich nur aufgrund der Art der Bedrohung erhöhen kann.
Das heißt, im Fall von Internetbanking oder Crypto-Wallets haben Sie Credits / Geheimnisse / Schlüssel, um darauf zuzugreifen (zusammengefasst durch das Wort „Geheimnisse“). Geheimnisse sind Informationen, aber es gibt auch Prozesse, Verfahren und Zeremonien für die Arbeit mit ihnen und einen relativ potenziell engen Kreis von Menschen, die mit ihnen arbeiten. Auch hier bricht das Konzept des Informationsschutzes nicht, aber wenn wir dazu übergehen, die Zahlungslogik direkt oder indirekt durch alles herum zu leiten und Geld über verschiedene Produkte und Systeme hinweg zu "verschmieren", wird die Situation viel schwieriger :)
Am Ende sollten wir nur auf unsere Geschäftsbeziehung und unser gutes Verständnis hoffen, was sich in einem bestimmten internen Fachwissen niederschlägt, das wir kontinuierlich pumpen und sofort in ein tatsächliches Bedrohungsmodell umwandeln können und sollten, das wiederum Wir müssen die Merkmale unserer Systeme auferlegen, um Brüche und Zufälligkeiten und damit Sinnlosigkeit bei all unseren Arbeiten zu vermeiden.
Verzeihen Sie mir, dass es so viele Worte zu einem so kurzen Gedanken gibt, aber ich möchte, dass wir alle in der Informationssicherheitsbranche noch einmal darüber nachdenken, was und wie wir tun, und wenn wir eine solche Gelegenheit erhalten, dann machen Sie alles richtig, damit alle Phasen wurden miteinander koordiniert, und wenn eine solche Gelegenheit nicht gegeben ist - dafür zu kämpfen, wenn es sich lohnt, sonst werden wir immer ein paar Schritte hinter den Angreifern sein, da sie ihre Ziele normalerweise gut kennen und ihnen im Gegensatz zu uns folgen.
Wenn dieses Material nicht vollständig fehlschlägt, werde ich versuchen, die Hauptansätze, „Werkzeuge“ und die subjektive Vision solcher Themen wie:
- Mein „Fahrrad“ zum Thema Bedrohungsmodellierung (wenn Bedarf besteht, da es auch ohne mein Fahrrad genügend Fahrräder gibt);
- (Nicht) Vertrauen und Sicherheit;
- Bug Bounty, wie wir es machen und wonach wir streben;
- Anmerkungen zu den Besonderheiten des russischsprachigen Marktes für Informationssicherheitsspezialisten nach langjähriger Erfahrung als Interviewer;
- Was soll die Sicherheit fördern?
Wenn das Material eingegangen ist - fügen Sie hinzu, wenn der Fehler aufgetreten ist - ertrinken Sie in den Kommentaren. Freue mich immer über konstruktives Feedback, sei es positiv oder nicht.
Alle Freundlichkeit und ein ausgewogener professioneller Ansatz!