Мы продолжаем обзор докладов конференции GIS DAYS. Сегодня представляем вам ревью профессиональной секции PRO3, посвященной электронной подписи и цифровым сервисам доверия.

Использование электронной подписи (ЭП) сегодня вызвано целым рядом факторов, вот лишь некоторые из них: необходимость ускорения процессов подписания документации, удаленный формат работы, обеспечение юридической значимости электронных документов, а также необходимость контроля целостности информационных потоков и авторства документов организаций.

Чтобы реализовывать эту технологию на практике компаниям необходимы корректно используемые средства электронной подписи, взаимодействие с удостоверяющими центрами и провайдерами услуг доверия, нормативное и организационное обеспечение. Как это сделать, расскажем в нашем материале.

Мы продолжаем обзор докладов конференции GIS DAYS. Профессиональная секция PRO2 была посвящена мониторингу критической информационной инфраструктуры (КИИ), а также способам обнаружения аномалий в сетях автоматизированных систем управления технологическими процессами (АСУ ТП). Коллеги представили 11 докладов, их ревью в нашем материале.

Ведущий инженер группы интегрированных систем операционного контроля компании «Газинформсервис» Евгений Гришин рассказал о подходах к применению SOC для АСУ ТП в топливно-энергетическом комплексе.

Главным событием осени 2020 года в нашей компании стала конференция GIS DAYS. Мы уже рассказывали вам о содержании ее пленарной сессии – здесь, а теперь готовы познакомить с обзором профессиональной секции PRO1. Наш материал кратко раскроет темы докладов специалистов, выступивших в рамках секции PRO1 и расскажет о тенденциях в аудите информационной безопасности, тестировании на проникновение и организации защищенных удаленных доступов в компании.

Сессия длилась без малого 3 часа, но специально для читателей Хабра мы уместили все самое интересное в 15 минут.

Начнем с занимательной статистики от Positive Technologies.

22 октября прошла конференция «Global Information Security Days 2020», организатором которой ежегодно выступает компания «Газинформсервис». Ключевая тема этого года — «Кибербезопасность новой реальности».

Онлайн-трансляция продлилась более 11 часов — за это время успели выступить 42 спикера. Часть из них участвовала в обсуждениях из студии на «Ленфильме», а другие присоединились к дискуссиям дистанционно по видеоконференцсвязи.

Конференция была разделена на пленарную и три тематические сессии. В этой статье мы подробнее расскажем про пленарную часть. Ее модераторами стали главный редактор изданий группы компаний Comnews Леонид Коник и телеведущая Ника Стрижак.

Меня зовут Денис Рожков, я руководитель разработки ПО в компании «Газинформсервис», в команде продукта Jatoba. Законодательство и корпоративные нормы накладывают определенные требования к безопасности хранения данных. Никто не хочет, чтобы третьи лица получили доступ к конфиденциальной информации, поэтому для любого проекта важны следующие вопросы: идентификация и аутентификация, управление доступами к данным, обеспечение целостности информации в системе, регистрация событий безопасности. Поэтому я хочу рассказать о некоторых интересных моментах, касающихся безопасности СУБД.

Целью цикла статьей является обзор нормативно-технических и нормативно-правовых условий для организации процессов обеспечения доверия в цифровой среде.

Вопросы обеспечения и развития цифрового пространства доверия актуальны во всём мире. Они стоят на повестке дня и решаются в той или иной степени с 1980-х годов, а в Российской Федерации, по крайней мере с начала 2000-х годов, когда был принят Федеральный закон № 1-ФЗ «Об электронной цифровой подписи». Наиболее обсуждаемым вопросом на уровне регуляторов (Минкомсвязи России, ФСБ России, ФНС России), пользователей и операторов, при реализации процессов обеспечения доверия в цифровой среде, является нормативная база обеспечения применения аналогов собственноручной подписи — электронной подписи (ЭП), электронной цифровой подписи (ЭЦП), как средства обеспечения юридической силы трансграничного электронного документооборота. В 2018-2020 годах это обсуждение привело к значительной модернизации федерального законодательства в области доверия в цифровой среде, а именно к появлению Федерального закона №476-ФЗ от 27.12.2019, внесшего значительные поправки в Федеральный закон № 63-ФЗ от 06.04.2011 «Об электронной подписи». Здесь и далее, главным образом будут рассмотрены поправки, касающиеся сервисов доверия, объединённых в 476-ФЗ понятием «доверенная третья сторона» (ДТС).

С момента выпуска первой спецификации EFI в двухтысячном году прошло около девятнадцати лет. Десять лет понадобилось интерфейсу, чтобы выйти на пользовательский рынок и закрепиться на нем. На текущий момент редко где можно увидеть современный компьютер без UEFI в прошивке материнской платы. Стандарт интерфейса нарастил «мясо» и несколько тысяч страниц в официальной документации. Для обычного пользователя ничего не поменялось, кроме эпизодических столкновений с включённым Secure Boot. Но если плоскость работы смещается в разработку, всё становится интереснее.

Работы по расширению трансграничного пространства доверия на базе использования Сервиса валидации электронной подписи (СВЭП) и услуг Доверенной третьей стороны (ДТС) активно продолжаются. На этот раз мы поговорим о пилотном проекте в рамках которого создан сервис по проверке иностранной электронной подписи в России и Казахстане.

Участниками проекта являются: со стороны России – СВЭП ООО «УЦ ГИС», со стороны республики Казахстан (РК) – ДТС РК в лице доверенного оператора ДТС РК АО «Национальные информационные технологии» и представитель российского бизнеса – биржа вагонов «Рэйл Коммерс».

В соответствии с требованиями ФСБ России использование схемы подписи ГОСТ Р 34.10-2001 для формирования электронной подписи после 31 декабря 2018 года не допускается. Однако, соответствующий патч для Check Point с криптографией КриптоПро, поддерживающей новые алгоритмы, выпущен в 2018 году не был. Чтобы соответствовать требованиям регулятора и внезапно не остаться без защищенных каналов связи, многие компании, использующие оборудование Check Point с поддержкой ГОСТового шифрования, не дожидаясь нового патча выпустили сертификаты для шлюзов по алгоритмам ГОСТ Р 34.10/11-2001.

В данной публикации рассматривается ситуация, когда межсетевые экраны (МЭ) Check Point уже обновлены до версии R77.30, и на них установлен дистрибутив КриптоПро CSP 3.9 для Check Point SPLAT/GAiA. В данном случае можно сохранить сертификат узла выпущенного при использовании алгоритмов ГОСТ Р 34.10/11-2012, что при кластерном исполнении инсталляции МЭ Check Point (Distributed/Standalone Full HA deployments) позволяет без перерывов связи обновить криптографию на оборудовании. На практике достаточно часто встречается ситуация, когда множество географически удаленных площадок строят VPN-туннели с центральным кластером. Соответственно, чтобы не обновлять большое количество площадок единовременно, новый патч позволяет использовать на оборудовании как алгоритмы ГОСТ Р 34.10/11-2001, так и новые алгоритмы ГОСТ Р 34.10/11-2012.

Приветствую, Хабровчане! Хотел бы поделиться с вами историей создания инновационного продукта. Речь пойдет о продукте класса расширенной аналитики событий информационной безопасности c функциями поведенческого анализа. Мы создали уже более полутора десятков продуктов по информационной безопасности. Почему мы решили создать еще один продукт? Давайте обо всем по порядку.

Ни для кого не секрет, что современная защита предприятий строится на основе комплексных систем безопасности, которые интегрируют средства защиты различного назначения. Это и антивирусные программы, межсетевые экраны, системы обнаружения вторжений, защиты от утечек и т.п. Однако, несмотря на несколько уровней в такой системе, выстроенной по периметру корпоративной инфраструктуры, сегодня она не гарантирует защиту от целевых компьютерных атак и злонамеренных действий персонала.

Многие заказчики задаются вопросом, а зачем проводить техническое обслуживание Комплекса инженерно-технических средств охраны (КИТСО)? Ну максимум камеры протереть. Все же само работает! Все корпусы уличного оборудования герметичные, а с оборудованием, находящимся в помещении ничего случиться не может.

При этом заказчики забывают, что КИТСО это КОМПЛЕКС средств и, если перестает работать хотя бы один его элемент, перестает работать весь комплекс.

Классический КИТСО на сегодняшний момент состоит из следующих компонентов: охранной сигнализации (ОС), охранного видеонаблюдения (ОВ) и системы контроля управления доступом (СКУД). Допустим погасло видеонаблюдение. Какой тогда толк от охранной сигнализации и СКУДа если злоумышленник может делать что угодно в это время на объекте не боясь последствий. В тоже время Видео без работающей ОС так же не эффективно т.к. охрана просто не узнает, что есть инцидент. Охватить мониторами все видеокамеры более-менее крупного объекта невозможно.

Ну и какой толк от СКУДа, если в случаем физического взлома замка или окна не сработает охранная сигнализация?

Программный комплекс Efros Config Inspector, предназначенный для контроля безопасности конфигураций активного сетевого оборудования, сред виртуализации, операционных систем – а с недавнего времени и средств роботизации бизнес-процессов (подробнее – здесь), с успехом используется самыми разными пользователями уже более восьми лет. Учитывая тренды развития информационных технологий и средств киберзащиты, разработчики уделяют особое внимание кроссплатформенности решения.

Для реализации функций управления конфигурациями, которые пользователи смогут оценить в нашем ближайшем зимнем релизе, был выбран кроссплатформенный пакет OpenSSH. Он поддерживается большинством дистрибутивов Linux, а с недавнего времени – и операционными системами семейства Windows.

В ходе анализа возможностей пакета была выявлена ошибка: клиент, в качестве которого выступал маршрутизатор Cisco, обрывал соединение с сервером. В коде сервера из пакета OpenSSH существует так называемая поддержка совместимости с различными устройствами, в частности — с устройствами Cisco. Она позволяет уточнять протокол взаимодействия между клиентом и сервером в зависимости от используемых типов устройств. После детального исследования стало ясно, что в процессе портирования пакета OpenSSH на Windows эта поддержка совместимости была отключена из-за особенностей портирования.

Как получить сертификат OSCP (Offensive Security Certified Professional)

Пожалуй, «оскорбительная» безопасность — это лучший перевод того направления деятельности, о котором мы сегодня поговорим. Конечно, Offensive – это еще и наступательная, и даже агрессивная, но сейчас речь не об этом.

Итак, вы пока еще не потеряли веру в карьеру в сфере информационной безопасности, однако окончательно убедились, что большинство сертификатов от вендоров – бессмысленная бумага, не стоящая вашего времени. Один мой коллега уже предлагает вручать всем заплатившим за экзамен сертификат Vendor Certified Dumping Specialist и на этом весь этот цирк заканчивать. Но будем реалистами, обучение и сертификация – это серьезный бизнес, и никуда он не денется в ближайшее время.

Тем хуже, если знания и навыки, которые вы решили подтвердить, не привязаны какому-то конкретному вендору. Про CISSP я уже рассказывал, а как насчет практических навыков в сфере информационной безопасности?

С одной стороны, есть крайне популярный экзамен Certificated Ethincal Hacker. Я абсолютно не сомневаюсь, что популярен он исключительно потому, что только пройдя этот экзамен вы сможете официально называться хакером. Проблема тут в другом: вам придется также согласиться, что вы стали хакером просто верно ответив на 125 вопросов. Несмотря на абсурдность ситуации, этот экзамен крайне популярен на Западе и для отдельных позиций является просто необходимым, особенно в государственном и военном секторе.

Много лет назад, когда мне впервые пришлось обучать молодых специалистов работе с Active Directory, я с тоской подсчитывал, какие вычислительные мощности мне потребуются от обучающего центра. Это было то далекое время, когда виртуализация еще только начала покорять IT. Я в столбик складывал требования к рабочим местам, контроллерам домена, прикладным серверам, и цифры меня совсем не радовали. Не радовали они и администратора обучающего центра.

С тех пор было прочитано большое количество курсов, но проблема ресурсов никуда не исчезала, пока на горизонте на замаячило огромное синее млекопитающее, груженое контейнерами.
Конечно, я думаю все гуглили “Container vs VM” и получали примерно такую картинку.

Бог троицу любит
(пословица)

Если двое разговаривают на разных языках, без переводчика не обойтись

Когда два государственных руководителя при международных переговорах говорят на разных языках, то по дипломатическому протоколу не обойтись без двух переводчиков.
Аналогично, когда две организации из разных стран в документообороте используют электронную подпись, то не обойтись без так называемой доверенной третьей стороны (ДТС). Особенно если в их родных юрисдикциях на законодательном уровне принята своя самостийная криптография.

С тенденцией к цифровизации предприятий по всему миру получают популярность системы управления ресурсами предприятия — ERP-системы. Крупнейшим игроком в данном сегменте на мировом и российском рынке уже долгое время остается немецкая компания SAP.



Стоит отметить, что Gartner определяет данный тип систем, как «критически важные для бизнеса», что неудивительно ввиду обширных функциональных возможностей, которые они предоставляют: финансы, производство, управление цепочками поставок, CRM, жизненными циклами продуктов, BI, и пр. Так, например, доля отраслей применения данных решений по наибольшему числу проектов внедрения, которые приводит портал «TAdviser» выглядит следующим образом:

В марте 2019 года компания «Газинформсервис» представила обновленную версию программного комплекса SafeERP 4.6. Подробное описание продукта SafeERP приведено на сайте компании.

В новую версию программного комплекса SafeERP 4.6 включена процедура построения иерархии полномочий по выбранным для анализа объектам полномочий.

Напомним структуру и общие понятия концепции полномочий SAP: «Объект полномочий» -> «Полномочие» -> «Профиль» -> «Роль» -> «Учетная запись пользователя». Концепция полномочий — классическая, но фактическая реализации более сложная:

• несколько ролей может быть присвоено пользователю;
• составная роль (Composite Role) может включать нескольких ролей;
• составной профиль полномочий может состоять из нескольких профилей (Composite Profile);
• в составной профиль может быть включён другой составной профиль;
• пользователь может наследовать полномочия ссылочного пользователя (Reference User).

Иерархия возможной структуры полномочий представлена на рисунке 1.


Рисунок 1 – Общая структура концепции полномочий SAP

Слова Константина Сергеевича Станиславского о том, что «театр начинается с вешалки» актуальны и по прошествии почти ста лет. Более того, если раньше об имидже задумывались, как правило, театры, а к заводам выдвигались требования исполнить пятилетний план за три года, то теперь ситуация изменилась. Облик современного, технологичного предприятия начинается, зачастую, в интернете. Вы заходите на сайт, видите удобный, эргономичный портал и понимаете – эта компания развивается, бизнес процветает: ведь, говоря простым языком, если хватает денег и на имидж – значит прибыль позволяет. Совершенно обратное впечатление может произвести старорежимное бюро пропусков. Маленькое окошко, куда нужно засунуть свой паспорт, чтобы получить пропуск, напоминает о временах застоя. Согласитесь, никто бы не хотел, чтобы его охарактеризовали как «морально устаревший бюрократ».

Программное обеспечение «АСЗП» позволяет автоматизировать процессы, связанные с заказом, согласованием и оформлением пропусков. Уже более десяти лет самые разные компании – от гигантских корпораций ТЭК до комплексов элитного жилья доверяют продукту
ООО «Газинформсервис». В этом году вышла новое, уже восьмое поколение «АСЗП». Программное обеспечение было обновлено, пользовательский веб-интерфейс был полностью переработан с использованием современных технологий разработки программного обеспечения.

В моей любимой компьютерной игре Quest for Glory 2: Trial by Fire, когда мир в очередной раз оказывается в опасности, главный герой попадает в Университет волшебников. После успешного прохождения вступительных испытаний бородатые мудрые волшебники предлагают поступить в этот Университет, потому что, окончив его, мы разберемся во всех тонкостях магии, изучим все заклинания и тогда уже точно спасем своих друзей и победим мировое зло. Проблема только в том, что учиться предстоит 15-20 лет, а за это время силы зла успеют победить и не один раз.

Я каждый раз невольно вспоминаю этот эпизод, когда передо мной оказывается очередная интересная книга или кипа технической документации. Про тайм-менеджмент написана куча книг, но для меня это сводится к простой формуле: разобрался в основах, разобрал примеры – дальше только автоматизация!

Теперь, когда мы примерно представляем, как работают инъекции, так почему бы не попробовать упростить себе жизнь и еще раз разобрать какой-нибудь прошлый пример, но уже с помощью дополнительного программного обеспечения. Нам потребуется два инструмента:
Sqlmap – инструмент, которой позволяет автоматизировать поиск и эксплуатацию уязвимостей в SQL и ZAP Proxy – локальный прокси-сервер, который нужен для анализа трафика между браузером в веб-сервером.

Опять нужно упомянуть, что это не единственные подобные инструменты, и наверняка в соседнем блоге вам убедительно докажут, что вместо sqlmap нужно разобраться с sqlninja, а на ZAP тратить время не нужно, когда есть Burp. Спорить ни с кем не стану.

Облегчать жизнь мы себе начнем с перехвата трафика между клиентом и веб-сервером. Полученные данные будут использованы в качестве параметров для sqlmap. По большому счету, в качестве такого параметра может выступать и URL уязвимого приложения, но сейчас данные с прокси будут для нас нагляднее.

Работать будем всё с тем же примером из A1, который мы разбирали в предыдущей статье («SQLi – Extract Data» > «User Info (SQL)»).

Недавно в журнале «Инсайд» мы рассказывали о долгосрочном архивном хранении электронных документов (ЭД), заверенных электронной подписью (ЭП). Статья была посвящена обзору различных точек зрения на организацию этого процесса и подходах к пролонгации свойств юридической значимости ЭД. В ней мы акцентировали внимание на подходе, который предусматривает формирование квитанций документа. Они представляют собой метаданные, содержащие результаты выполненных проверок, а также все необходимые атрибуты, подтверждающие юридическую значимость документа в момент проверки.

Настоящая статья более подробно раскрывает еще один подход к долгосрочному архивному хранению (ДАХ) – формирование усовершенствованной электронной подписи (УЭП), а именно ЭП в архивных форматах CAdES-A и XAdES-A.