Вот тут честно говорится, что SIEM это тема преимущественно банков.
Грубо говоря сотни серверов и все критичны. Человеку контролировать сложно, покупаем SIEM. Стоить это будет, как чугунный мост, но и потери от нарушений политик ИБ видны невооруженным взглядом, ибо выливаются, например, в конкретные украденные бабки.
Можно еще взять интернет гигантов, типа Яндекса. Потеря доступа миллионов пользователей к сервисам — убытки. Внедряем.
Верно пишет же — прежде чем что-то внедрять. Обоснуй. Покажи деньги.
Пока вы будете в авральном режиме анализировать случившееся — бизнес, скорее всего, будет простаивать, а начальство — нервничать и возмущаться. Финансовую оценку убытков от простоя предприятия легко произвести самостоятельно, благо это не так сложно.
Падение почтового сервера на пол часа, никак не скажется на выпуске тазиков Автоваза, станок как клепал кузовы так и будет клепать. Где убытки?
Или Автоваз мелкое предприятие?
Защищайте не только критические активы.
Злоумышленники получат пользовательский и административный аккаунт с незащищенных рабочих станций или с мобильных устройств и с абсолютно легитимными запросами к вашей суперзащищенной базе данных «вытянут» все, что только можно.
Главное, это не слепо верить таким вот рекламным текстам.
Надо понимать, что если пользователь с доступом захочет украсть данные, он их украдет. Набивший оскомину пример, с фотографированием экрана — классика жанра. Не требует большого ума и хакерских навыков.
Если забыть упомянуть, в угаре выбивания «бюджетов», об этих и некоторых других так называемых остаточных рисках, то потом может быть очень больно. Руководство возьмет за шкирку и строго спросит, как так — потратили 100 лямов на SIEM с DLP, а данные все равно уплыли.
Да вот меня смутило про отлов перевода в офшор… А если мелкими суммами накидать? А если оформлять на подставных людей? www.securitylab.ru/news/438210.php
Сразу мысль, про ИИ который бдит, его еще к камерам подключить, он будет по выражению лица определять плохишей.
Есть еще вопрос.
Вот представим сеть из 1000 машин, куча роутеров, скуд, идем по вашему принципу собираем в SIEM все возможные события, гребем лопатой по максимуму, а то мало ли что. Угроз и векторов полно. Отслеживаем все, вплоть до смарта хардов, харды ведь тоже надо менять вовремя.
Сможет ли отдел ИБ разгребать все, что ему начнет валить SIEM, чтобы не по факту карать, а заранее предотвращать.
Без SIEM эти факты еще предстоит выяснить, после того как мы узнаем об утечке или удалении, к примеру, всей корпоративной информации на файловом хранилище.
Вот сработка SIEM, по скуду человека нет, а машина активна. Отряд ИБ несется на крыльях ночи, в удаленный офис, а там баба Маня случайно шваброй задела кнопку Повер.
Вот с нового ip попер какой то непонятный VPN трафик, карательный отряд подрывается, но оказывается это dhcp сменил адрес старой машины, на новый.
Вот какой то непонятный траф стал генериться с компа генерального директора, все садятся на измену, в итоге выясняется, что это гендир просто решил зарубиться в контру по инету.
Сколько будет вот такого ложняка, при том количестве информации, что будет получать SIEM с 1000 хостов?
Может имеет смысл к отряду операторов, пишуших корреляции, внедрить отдельный отряд реагирования на отклонения от baseline?
Или когда запускаются процессы на компьютере генерального директора в его отсутствие и отсутствии VPN к его компьютеру.
Когда события собраны в единое хранилище со всех источников (либо таких хранилищ несколько) по ним можно делать корреляцию и определять взаимосвязи, отслеживать тенденции. Открываем дашбоард, и видим всплески трафика на порт, видим кучу неуспешных попыток входа, а затем успешную.
Алгоритм корреляции пишет оператор SIEM? Или SIEM это искусственный интеллект (свершилось!), который сам решает что важно, а что нет?
Переубеждать не надо, вещь эта нужная и интересная несомненно. Хочется понять, насколько нужная. Насколько она стоит своих затрат.
Вот Вашим словам.
Повторю еще раз: акцент здесь делается на сборе и хранении. Мы не увидим ничего похожего на «анализ», «аудит полученных данных» (не путать с «аудитом входа в систему», это обычные данные из журналов).
…
Если вы ожидаете, что результатом контроля соответствия стандарту с использованием SIEM станет сообщение вида «Установлена минимальная длина пароля» с указанием соответствующего или не соответствующего требования, — вы, к сожалению, ошибаетесь. Отсюда можно сделать вывод, что SIEM-системы не предназначены для оценки соответствия, а нужны как техническое средство для соблюдения отдельных требований стандартов по сбору и хранению событий и имеют лишь функциональность track@report.
Акцент на сборе и хранении. Даже по другому — Юридически значимом сборе и хранении, чтобы опровергнуть многомиллионные транзакции, чтобы следить за кучей серверов, которые все значимы для Бизнеса, собирать с них не убиваемый лог, которым можно потрясти в суде.
Получается, эта тема востребована в основном банковским сектором?
А остальным? Которым не надо трясти бакапами в суде? Остальным по идее, логично было бы надеяться на автоматизацию рутины.
SIEM автоматизирует монотонную работу с журналами событий, выстраивает процессы инцидент-менеджмента, приоритезируя инциденты и фокусируя внимание подразделений ИТ и ИБ на важных для бизнеса.
И тут опять всплывает из вашей статьи, что у сегодняшних SIEM «акцент здесь делается на сборе и хранении».
Если он автоматизирует, то каким, образом, ведь Вы пишете.
" в журнале событий каждого источника данных конкретное событие может быть описано различными служебными словами, с разными event_id., выполнение проверки соответствия подобным образом требует слишком большого количества ресурсов, поэтому разработчики SIEM отказываются от этой затеи."
Что в результате приводит опять только лишь, к Юридически значимому логу, без невозможности автоматического анализа.
Самое главное что у нас в наш рыночный век? Самое главное у нас это Бизнес. А Бизнесу интересна не политика ИБ как самоцель, а как не попасть на «бабки».
Рассматривая в нашем примере рабочую станцию, как структурную единицу, зададимся вопросом, как рядовой работничек может поставить бизнес «на бабки». И уже от этого пляшем.
Первое, основное и самое очевидно, несомненно слив информации работника с определенным доступом, к конкурентам, SIEM тут никаким боком ибо задача эта для DLP системы.
Вот по сути и все… Более ничем нам рабочая станция не интересна. Нарушение функционирования рядовой рабочей станции не критично для Бизнеса.
А отличии от других активов, например серверов, на которых крутятся значимые базы. Вот на них и плотно ставится контроль. В том числе на политики, которые централизованно спускаются, с этих серверов.
Далее остальные технические нюансы.
То есть, вы с помощью политик домена контролируете «все и вся» и при этом:
— пользователь не может повысить привилегии
— пользователь не может несанкционированно запустить софт (в т.ч. portable)
— нельзя получить административный аккаунт доменного админа или к какой либо информационной системе.
Накатывается SRP, пользователь сидит без админских прав. Средний навык рядового пользователя по хакингу систем колышется около 0 уровня. Физически Крутых хакеров со стороны не подпускает к компьютерам забор с колючкой, СКУД и мордовороты на воротах, виртуально – трутся на задворках корпоративного FW.
— пользователь не может загрузиться с livecd\usb и нарушить работу вашей инфраструктуры
Может при большом желании конечно. Как мне поможет в этом случае SIEM, что-то я не представляю.
Вот в агентской части DLP было бы интересно иметь факт определения загрузки не «родной» ОС. Ибо так можно документики в обход агента спионерить.
Загрузка бэктрека и долбежка сплоитами и сканами определяется со стороны атакуемых серверов, как критичного актива.
Хотя если работник чисто из злобности решил завалить комп соседа, а не просто дать ему в морду. Ну это наверно бывает, запишем в неизбежные риски.
— о появлении вируса\атаки\угрозы\утечки вы в режиме реального времени узнаете и отреагируете (!) и все будет документировано?!
— вы сможете предоставить юридически значимые журналы событий когда к вам придут и скажут что ваша компания ддосит кремлинру?
А что журнал событий обязательно извлекать из SIEM? Он спокойно себе пишется на серверах, бакапится по расписанию.
В случае актуальной угрозы придет алерт на мыло от IDS/Антивирусной защиты/Настроенной на критичных серверах Системы событий Windows/Еще пары забавных штук.
Грамотно закрученные гайки, позволяют минимизировать количество этих сообщений.
— вы сможете сказать кто и когда изменил настройки на сервере\рабочей станции\базе данных\роутере\файерволле?
Логи сохраняются и бакапятся. В реальном времени мониторить, как я говорил, всю инфрастуктуру не нужно. Нужно разделять ее по критичности для бизнеса. Критичные роутеры мониторятся в обязательном порядке.
Про гайки я уже говорил. Например, консоль роутера доступна не всей сети, а специально выделенным машинам.
Если все «да» и вы это сделали с помощью домена — честь и благодать Вам.
Сделано без SIEM, а вот где реально без SIEM не обойтись?
Я вот никак не пойму, про какие вы сети говорите?
Про дикую сетку, из отдельных рабочих станций, в которой рядовые работнички, все под админами и творят что хотят? Мы им бумажку кидаем, давайте ребята, делайте сложные пароли. Ребята плюют с высокой колокольни на ваши бумажки и ставят пароли по своему. Тогда мы внедряем навороченный SIEM, что бы он опрашивал всю тысячу наших рабочих машин в дикой сетке и выявлял непокорных. Публично караем за неповиновение.
Или все таки сетка организованна в домен, где настройки спускаются централизованно. И работничек может сделать только то, что ему позволено. И что мне покажет тогда SIEM, чего я и так не буду знать?
Насчитал 7 пользователей SIEM, расскажите как оно, почувствовали пользу от внедрения? Используете ли SIEM на полную катушку?
Долго ли настраивали корреляционные механизмы? Кто этим занимается в рамках зацикленной модели PDCA? :)
Это раньше там что-то про ФИО было, а сейчас сурово.
В целях настоящего Федерального закона используются следующие основные понятия:
1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
А представьте что к такому Юрику придет инспектор РКН, проверить выполнение закона №152, требований ПП1119.
Как придется бедному Юрику вереться ужом на сковородке, обосновывая такое решение?
Смотрим сюда www.securitylab.ru/blog/personal/80na20/28863.php
Фотография это биометрия, как считает РКН. А вот видеоданные это биометрия? Если принять за допущение, что видео это набор фотографий с частотой 30 к/c, то в самом крайнем случае видео проверяющий инспектор так-же признает биометрией и персональными данными. По видео можно интенсифицировать человека? Можно! На то оно и используется! (Не говоря о том, что инспектору надо срубить «галку», на Вас :)
А что требует РКН? Вот один из пунктов (подробнее ПП1119).
Физическая защита и учет материальных носителей.
Попросит инспектор журнал учета носителей, а там какой то гоголь-моголь в виде облачного хранилища. :) Персональные Данные по сути широким потоком льются «дикий» интернет никак не контролируемый --Физически--, оператором ПДн, без всякого учета материальных носителей. У инспектора сразу нервный тик начнется.
А если выяснится, что облако построено на зарубежных мощностях, инспектора вообще кондратий хватит, это же трансграничная передача персональных данных! А где согласие субъекта ПД в письменной форме на это? :)
Они просто существенно облегчили себе жизнь.
Если субъект сделал данные общедоступными то можно не слать уведомление об обработке ПД в контролирующие органы. Требования к уровню защищенности ИСПДн так-же значительно ниже (ранее 4 класс). Если сайт ломанут и данные утекут, они не понесут ответственности, ведь данные «общедоступны» :)
Атаки на юзера вообще не перестанут быть актуальными (4 пункт и иже с ним).
Мне как то несколько раз довелось наблюдать пенстесты одной известной фирмы. Так вот потыкавшись в закрученные гайки внешнего периметра, начинаются подлянки и разводки юзеров. :)
Якобы письма от админов, с просьбой протестировать новый корпоративный сервис (с вводом пароля да). Заряженные пайлоадом письма от «контрагентов» и тд… И как не проводи разъяснительную работу, все равно нажимают, открывают, переходят.
Вот приведу еще маленький пример по обновлениям и дырявости.
Спустимся чуть ниже. Вот стоит хороший такой контролер, который отпахал уже десяток лет, к нему полно запасных блоков, в свое время за это хозяйство было заплачено немало денег. Отпашет еще десяток лет.
А вот сетевая часть реализована в нем на огрызке linux-а.
Внутри стоит
linux_kernel — 2.4 (сборка 2003 года).
Подняты и торчат наружу.
mini_httpd — 1 версии (2003)
Порт RCP.
Все крутится под root-ом.
Под столь дремучую сборку я сходу нашел несколько столь-же дремучих паблик сплоитов… И кто возьмется его обновить?
Да никто не возьмет на себя такой риск, производитель давно говорит — покупайте новый. Купишь новый, а там будет тот же линукс, ну пусть 2010 года сборки, с дырявыми сервисами. Те же яйца только в профиль.
Получается, если строить защищенные сети АСУТП, производитель должен рассматривать с точки зрения ИБ все компоненты системы, а не только акцентироваться на уровне SCADA.
Да, похоже все доказательства высосаны из пальца.
Сравнить хотя бы с уровнем атаки Duqu. Цепочка из ломанных ssh linux серверов, которые были затем вайпнуты (Германия, Вьетнам), никаких пацанских «Я хэкнул тебя бро», все вылизано, чтобы не оставить никаких зацепок.
У нас получается тоже полно киберразведчиков на форумах типа хакер.ру, палятся фразами типа — «сбрутил буржуйский дедик, как криптануть пинч». :)
Ну вот взял для прикола пробил Uglygorill-у.
Вот его ымперский аватар (сразу повеяло красной угрозой). bbs.chinamil.com.cn/forum/bbsui.jsp?id=(o)5681
Вот тут он выражает готовность рвать врагов отечества. Как там из статьи "«UglyGorilla» публично выразил свою заинтересованность в участии в “кибер-войсках” Китая в Январе 2004 г." На самом деле пацанчик, выразил восхищение какой то статейкой по сетевым войнам, но это конечно несущественные мелочи. А в других сообщениях, наивные вопросы по типу «а танки наши быстры?». bbs.chinamil.com.cn/forum/listbooks.jsp?id=(o)5681
Вот здесь пацанчик непатриотично поливает родную страну, дескать жрем говно одно, молочка выпьешь и ноги протянешь. И как такого держат в сверхсекретных подразделениях? Он же все полимеры продаст. iask.sina.com.cn/b/1801262.html
Оказывается в неком троянце некий бравый китайский разведчик наивно прописал сакральное «No Doubt to Hack You, Writed by UglyGorilla».
Оказывается «из 832 различных IP-адреса с использованием инструмента Remote Desktop», где-то наивно светанулся 58.246.255.28, принадлежащий пацанчику с ником uglygorilla.
Сложив два плюс два компания Mandiant обломала всю сверхсекретную диверсионную деятельность Народно-освободительной армии Китая, а глава Кибернетического командования США генерал Кит, побежал докладывать наверх о проделанных грандиозных успехах, не забыв упомянуть об очередной паре миллионов отраженных атак китайских хакеров. creativesoft.livejournal.com/97039.html
По 6 пункту действительно весьма полезно контролировать сетевой трафик. Может идти как дополнительная мера на особо критичных и серьезных объектах, ибо в системе могут быть дыры удаленной эксплуатации неизвестные производителю, но известные черным шляпам.
Но обычное Российское производство таким людям врятли интересно, там больше нужна именно защита от дурака.
По 1. Дело в том что когда «припрет», деваться то некуда будет (тоже из практики). И в авральном режиме будет установка патчей, поскольку сетевой червяк через древние дыры пролезает, где только можно, и установка антивируса с актуальными базами.
Вот кстати интересная ссылка, по теме заражений.
цитата
***********************
Началось с жалоб на потери связи клиент-сервер. И еще были жалобы, по симптомам смахивающие на результат действия вредоносного ПО. Если учесть, что я полгода назад лечил этот объект от Conflickera, то я подумал, что опять началось. Хотя уже всех диспетчеров повздрючивали материально, усилили меры безопасности и т.д. вплость до того, что повыдирали USB порты на самых стремных АРМах. Как потом выяснилось, заразу привезла одна из подрядных организаций… Объект распределенный, около 30 САУ на 315 ПЛК, и часть из них у разных подрядчиков. И каждый без спроса норовит всунуть свой программатор в сеть. История банальна до безобразия. Кстати, флешка заражалась только с ихнего программатора, а вот уже мои сервера и АРМы заразились по сети, и воткнутую в них флешку не заражали.
***********************
Как и в прошлый раз, могу спросить, да круто, да продвинуто, но для кого эти системы?
Разделение на средний и крупный бизнес думаю не корректно.
Скорее надо смотреть на вид деятельности бизнеса.
habrahabr.ru/post/172389/
Вот тут честно говорится, что SIEM это тема преимущественно банков.
Грубо говоря сотни серверов и все критичны. Человеку контролировать сложно, покупаем SIEM. Стоить это будет, как чугунный мост, но и потери от нарушений политик ИБ видны невооруженным взглядом, ибо выливаются, например, в конкретные украденные бабки.
Можно еще взять интернет гигантов, типа Яндекса. Потеря доступа миллионов пользователей к сервисам — убытки. Внедряем.
Для остального сектора, убытки косвенны и сложно считаемы.
Можно привести в пример не любимого многими Лукацкого
lukatsky.blogspot.ru/2013/03/blog-post.html
Верно пишет же — прежде чем что-то внедрять. Обоснуй. Покажи деньги.
Падение почтового сервера на пол часа, никак не скажется на выпуске тазиков Автоваза, станок как клепал кузовы так и будет клепать. Где убытки?
Или Автоваз мелкое предприятие?
Главное, это не слепо верить таким вот рекламным текстам.
Надо понимать, что если пользователь с доступом захочет украсть данные, он их украдет. Набивший оскомину пример, с фотографированием экрана — классика жанра. Не требует большого ума и хакерских навыков.
Если забыть упомянуть, в угаре выбивания «бюджетов», об этих и некоторых других так называемых остаточных рисках, то потом может быть очень больно. Руководство возьмет за шкирку и строго спросит, как так — потратили 100 лямов на SIEM с DLP, а данные все равно уплыли.
www.securitylab.ru/news/438210.php
Сразу мысль, про ИИ который бдит, его еще к камерам подключить, он будет по выражению лица определять плохишей.
Есть еще вопрос.
Вот представим сеть из 1000 машин, куча роутеров, скуд, идем по вашему принципу собираем в SIEM все возможные события, гребем лопатой по максимуму, а то мало ли что. Угроз и векторов полно. Отслеживаем все, вплоть до смарта хардов, харды ведь тоже надо менять вовремя.
Сможет ли отдел ИБ разгребать все, что ему начнет валить SIEM, чтобы не по факту карать, а заранее предотвращать.
Вот сработка SIEM, по скуду человека нет, а машина активна. Отряд ИБ несется на крыльях ночи, в удаленный офис, а там баба Маня случайно шваброй задела кнопку Повер.
Вот с нового ip попер какой то непонятный VPN трафик, карательный отряд подрывается, но оказывается это dhcp сменил адрес старой машины, на новый.
Вот какой то непонятный траф стал генериться с компа генерального директора, все садятся на измену, в итоге выясняется, что это гендир просто решил зарубиться в контру по инету.
Сколько будет вот такого ложняка, при том количестве информации, что будет получать SIEM с 1000 хостов?
Может имеет смысл к отряду операторов, пишуших корреляции, внедрить отдельный отряд реагирования на отклонения от baseline?
Алгоритм корреляции пишет оператор SIEM? Или SIEM это искусственный интеллект (свершилось!), который сам решает что важно, а что нет?
Вот Вашим словам.
Акцент на сборе и хранении. Даже по другому — Юридически значимом сборе и хранении, чтобы опровергнуть многомиллионные транзакции, чтобы следить за кучей серверов, которые все значимы для Бизнеса, собирать с них не убиваемый лог, которым можно потрясти в суде.
Получается, эта тема востребована в основном банковским сектором?
А остальным? Которым не надо трясти бакапами в суде? Остальным по идее, логично было бы надеяться на автоматизацию рутины.
И тут опять всплывает из вашей статьи, что у сегодняшних SIEM «акцент здесь делается на сборе и хранении».
Если он автоматизирует, то каким, образом, ведь Вы пишете.
" в журнале событий каждого источника данных конкретное событие может быть описано различными служебными словами, с разными event_id., выполнение проверки соответствия подобным образом требует слишком большого количества ресурсов, поэтому разработчики SIEM отказываются от этой затеи."
Что в результате приводит опять только лишь, к Юридически значимому логу, без невозможности автоматического анализа.
Самое главное что у нас в наш рыночный век? Самое главное у нас это Бизнес. А Бизнесу интересна не политика ИБ как самоцель, а как не попасть на «бабки».
Рассматривая в нашем примере рабочую станцию, как структурную единицу, зададимся вопросом, как рядовой работничек может поставить бизнес «на бабки». И уже от этого пляшем.
Первое, основное и самое очевидно, несомненно слив информации работника с определенным доступом, к конкурентам, SIEM тут никаким боком ибо задача эта для DLP системы.
Вот по сути и все… Более ничем нам рабочая станция не интересна. Нарушение функционирования рядовой рабочей станции не критично для Бизнеса.
А отличии от других активов, например серверов, на которых крутятся значимые базы. Вот на них и плотно ставится контроль. В том числе на политики, которые централизованно спускаются, с этих серверов.
Далее остальные технические нюансы.
Накатывается SRP, пользователь сидит без админских прав. Средний навык рядового пользователя по хакингу систем колышется около 0 уровня. Физически Крутых хакеров со стороны не подпускает к компьютерам забор с колючкой, СКУД и мордовороты на воротах, виртуально – трутся на задворках корпоративного FW.
Может при большом желании конечно. Как мне поможет в этом случае SIEM, что-то я не представляю.
Вот в агентской части DLP было бы интересно иметь факт определения загрузки не «родной» ОС. Ибо так можно документики в обход агента спионерить.
Загрузка бэктрека и долбежка сплоитами и сканами определяется со стороны атакуемых серверов, как критичного актива.
Хотя если работник чисто из злобности решил завалить комп соседа, а не просто дать ему в морду. Ну это наверно бывает, запишем в неизбежные риски.
А что журнал событий обязательно извлекать из SIEM? Он спокойно себе пишется на серверах, бакапится по расписанию.
В случае актуальной угрозы придет алерт на мыло от IDS/Антивирусной защиты/Настроенной на критичных серверах Системы событий Windows/Еще пары забавных штук.
Грамотно закрученные гайки, позволяют минимизировать количество этих сообщений.
Логи сохраняются и бакапятся. В реальном времени мониторить, как я говорил, всю инфрастуктуру не нужно. Нужно разделять ее по критичности для бизнеса. Критичные роутеры мониторятся в обязательном порядке.
Про гайки я уже говорил. Например, консоль роутера доступна не всей сети, а специально выделенным машинам.
Сделано без SIEM, а вот где реально без SIEM не обойтись?
Я вот никак не пойму, про какие вы сети говорите?
Про дикую сетку, из отдельных рабочих станций, в которой рядовые работнички, все под админами и творят что хотят? Мы им бумажку кидаем, давайте ребята, делайте сложные пароли. Ребята плюют с высокой колокольни на ваши бумажки и ставят пароли по своему. Тогда мы внедряем навороченный SIEM, что бы он опрашивал всю тысячу наших рабочих машин в дикой сетке и выявлял непокорных. Публично караем за неповиновение.
Или все таки сетка организованна в домен, где настройки спускаются централизованно. И работничек может сделать только то, что ему позволено. И что мне покажет тогда SIEM, чего я и так не буду знать?
Долго ли настраивали корреляционные механизмы? Кто этим занимается в рамках зацикленной модели PDCA? :)
В целях настоящего Федерального закона используются следующие основные понятия:
1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Вот тут еще интересный разбор
www.lidings.com/ru/articles2?id=47
Нудятина mode on
А представьте что к такому Юрику придет инспектор РКН, проверить выполнение закона №152, требований ПП1119.
Как придется бедному Юрику вереться ужом на сковородке, обосновывая такое решение?
Смотрим сюда
www.securitylab.ru/blog/personal/80na20/28863.php
Фотография это биометрия, как считает РКН. А вот видеоданные это биометрия? Если принять за допущение, что видео это набор фотографий с частотой 30 к/c, то в самом крайнем случае видео проверяющий инспектор так-же признает биометрией и персональными данными. По видео можно интенсифицировать человека? Можно! На то оно и используется! (Не говоря о том, что инспектору надо срубить «галку», на Вас :)
А что требует РКН? Вот один из пунктов (подробнее ПП1119).
Физическая защита и учет материальных носителей.
Попросит инспектор журнал учета носителей, а там какой то гоголь-моголь в виде облачного хранилища. :) Персональные Данные по сути широким потоком льются «дикий» интернет никак не контролируемый --Физически--, оператором ПДн, без всякого учета материальных носителей. У инспектора сразу нервный тик начнется.
А если выяснится, что облако построено на зарубежных мощностях, инспектора вообще кондратий хватит, это же трансграничная передача персональных данных! А где согласие субъекта ПД в письменной форме на это? :)
izvestia.ru/news/531308
Если субъект сделал данные общедоступными то можно не слать уведомление об обработке ПД в контролирующие органы. Требования к уровню защищенности ИСПДн так-же значительно ниже (ранее 4 класс). Если сайт ломанут и данные утекут, они не понесут ответственности, ведь данные «общедоступны» :)
Мне как то несколько раз довелось наблюдать пенстесты одной известной фирмы. Так вот потыкавшись в закрученные гайки внешнего периметра, начинаются подлянки и разводки юзеров. :)
Якобы письма от админов, с просьбой протестировать новый корпоративный сервис (с вводом пароля да). Заряженные пайлоадом письма от «контрагентов» и тд… И как не проводи разъяснительную работу, все равно нажимают, открывают, переходят.
Спустимся чуть ниже. Вот стоит хороший такой контролер, который отпахал уже десяток лет, к нему полно запасных блоков, в свое время за это хозяйство было заплачено немало денег. Отпашет еще десяток лет.
А вот сетевая часть реализована в нем на огрызке linux-а.
Внутри стоит
linux_kernel — 2.4 (сборка 2003 года).
Подняты и торчат наружу.
mini_httpd — 1 версии (2003)
Порт RCP.
Все крутится под root-ом.
Под столь дремучую сборку я сходу нашел несколько столь-же дремучих паблик сплоитов… И кто возьмется его обновить?
Да никто не возьмет на себя такой риск, производитель давно говорит — покупайте новый. Купишь новый, а там будет тот же линукс, ну пусть 2010 года сборки, с дырявыми сервисами. Те же яйца только в профиль.
Получается, если строить защищенные сети АСУТП, производитель должен рассматривать с точки зрения ИБ все компоненты системы, а не только акцентироваться на уровне SCADA.
Сравнить хотя бы с уровнем атаки Duqu. Цепочка из ломанных ssh linux серверов, которые были затем вайпнуты (Германия, Вьетнам), никаких пацанских «Я хэкнул тебя бро», все вылизано, чтобы не оставить никаких зацепок.
У нас получается тоже полно киберразведчиков на форумах типа хакер.ру, палятся фразами типа — «сбрутил буржуйский дедик, как криптануть пинч». :)
Вот его ымперский аватар (сразу повеяло красной угрозой).
bbs.chinamil.com.cn/forum/bbsui.jsp?id=(o)5681
Вот тут он выражает готовность рвать врагов отечества. Как там из статьи "«UglyGorilla» публично выразил свою заинтересованность в участии в “кибер-войсках” Китая в Январе 2004 г." На самом деле пацанчик, выразил восхищение какой то статейкой по сетевым войнам, но это конечно несущественные мелочи. А в других сообщениях, наивные вопросы по типу «а танки наши быстры?».
bbs.chinamil.com.cn/forum/listbooks.jsp?id=(o)5681
Вот здесь пацанчик непатриотично поливает родную страну, дескать жрем говно одно, молочка выпьешь и ноги протянешь. И как такого держат в сверхсекретных подразделениях? Он же все полимеры продаст.
iask.sina.com.cn/b/1801262.html
Без задних мыслей пробиваем дальше по мыльцу с первой сцылы — uglygorilla@163.com
Выскакивает печальная история про увод домена у некой китайской софтовой фирмочки.
forum.rootcon.org/showthread.php?s=b2daaf266bde1abb57ebab3c8e0a60e8&p=10512#post10512
И вторая сцылка проливает наконец свет на всю историю.
www.xakep.ru/post/60158/
Оказывается в неком троянце некий бравый китайский разведчик наивно прописал сакральное «No Doubt to Hack You, Writed by UglyGorilla».
Оказывается «из 832 различных IP-адреса с использованием инструмента Remote Desktop», где-то наивно светанулся 58.246.255.28, принадлежащий пацанчику с ником uglygorilla.
Сложив два плюс два компания Mandiant обломала всю сверхсекретную диверсионную деятельность Народно-освободительной армии Китая, а глава Кибернетического командования США генерал Кит, побежал докладывать наверх о проделанных грандиозных успехах, не забыв упомянуть об очередной паре миллионов отраженных атак китайских хакеров.
creativesoft.livejournal.com/97039.html
Но обычное Российское производство таким людям врятли интересно, там больше нужна именно защита от дурака.
По 1. Дело в том что когда «припрет», деваться то некуда будет (тоже из практики). И в авральном режиме будет установка патчей, поскольку сетевой червяк через древние дыры пролезает, где только можно, и установка антивируса с актуальными базами.
Вот кстати интересная ссылка, по теме заражений.
цитата
***********************
Началось с жалоб на потери связи клиент-сервер. И еще были жалобы, по симптомам смахивающие на результат действия вредоносного ПО. Если учесть, что я полгода назад лечил этот объект от Conflickera, то я подумал, что опять началось. Хотя уже всех диспетчеров повздрючивали материально, усилили меры безопасности и т.д. вплость до того, что повыдирали USB порты на самых стремных АРМах. Как потом выяснилось, заразу привезла одна из подрядных организаций… Объект распределенный, около 30 САУ на 315 ПЛК, и часть из них у разных подрядчиков. И каждый без спроса норовит всунуть свой программатор в сеть. История банальна до безобразия. Кстати, флешка заражалась только с ихнего программатора, а вот уже мои сервера и АРМы заразились по сети, и воткнутую в них флешку не заражали.
***********************
iadt.siemens.ru/forum/viewtopic.php?t=14276&postdays=0&p=75091