Обновить
4K+
86

ИБ / IT / AI

289
Подписчики
Отправить сообщение
На своё устройство в прочем ставится элементарно, а для конечного пользователя VPN никакой учетки не надо, агент скачивается со шлюза.

Шлюз работает только из IE, притом не из любых версий. Попытки открыть его из Яндекс.Браузера или Firefox закончились неудачей. Поэтому пришлось лезть на сайт cisco.com. Перенос настроек AnyConnect с одного компьютера на другой это вообще отдельная песня.

Я понимаю конечно, Cisco — гигант, но порекомендуйте вашим коллегам провести юзабилити тест продукта. Возьмите людей, не админов, а потенциальных конечников, поверьте вы узнаете много нового.

P.S. В логин окне AnyConnect увидел забавную вещь, жалко скрин не сделал, там есть поле пароль и второй пароль… но согласно комбинаторики один длинный пароль гораздо надежнее двух коротких…
На практике Cisco решения для удаленного доступа мягко скажем не очень.
1) Клиент AnyConnect не является стандартным (не входит в состав ОС).
2) Чтобы пользователю скачать AnyConnect нужна учетка на сайте Cisco.
3) AnyConnect старых Cisoc не обновляется в результате запуск на Win10 это танцы с бубном.
4) По факту настроить AnyConnect для ИТ-специалиста (скажем бизнес-аналитика) без админа невозможно. Нужен TeamViewer или другой способ работы админа на машине клиента.

С точки зрения ИБ L2TP/IPsec вполне защищенное решение. К нему легко прикручивается двухфакторка, либо через Google Auth или через SMS или через токены. Клиент есть везде Android, IOS, Win, MAC. При прочих равных отсутствие танцев с бубном. Для редких случаях, когда надо ходить через HTTP-Proxy OpenVPN или какое-нибудь SSL-VPN.

Любые проприетарные VPN-клиенты — зло.
На мой взгляд, в условиях отсутствия доверия к действиям УЦ нужно пользоваться защитой действующего законодательства, а именно:

1. Согласно 63-ФЗ УЦ (как юр. лицо) должно пользоваться сертифицированными средствами УЦ (софта) и электронной подписи (софта). Использование сертифицированных средств, это не только наличие софта с контрольными суммами, как у образцов предоставленных в ФСБ России при сертификации, но и обязательное соблюдение (требование ПКЗ-2005, ФАПСИ 152) документации к ним. В частности, плагины использующие СКЗИ должны пройти процедуру контроля корректности встраивания. ТЗ на встраиванием согласовывает ФСБ, саму процедуру проводит специализированная организация, как правило производитель СКЗИ, в частности ООО КриптоПро. Требования контроля корректности встраивания определены для всех (что я видел) СКЗИ и прописаны в документации на СКЗИ. Письмо ФСБ вам в помощь. В случае не реализации данных обращаться в ФСБ России.

2. Определить кто (какое ЮЛ) является разработчиком плагина. Определить имеется ли у данного лица лицензия по ПП-313 на право осуществления подобной деятельности. Даже не сколько лицензия, а соответствующий пункт в лицензии — 2 или 3 по Приложению 1 к ПП-313. Если подобного пункта нет, ст. 171 УК РФ вам в помощь.

3. В соответствии с 98-ФЗ ввести в отношении криптоключей и сведений о них режим коммерческой тайны. Проинформировать о данном перечне УЦ.

4. Если после (3) вы обнаружите факт того, УЦ обладает сведениями о том, на каком компьютере используются те или иные криптоключи, как в этом комментарии. И при этом вы эти сведения не передавали, то ст. 183 УК РФ вам в помощь.

5. Провести сверку действий УЦ с его регламентом, а также нормативными документами ПКЗ-2005, ФАПСИ 152. В случае наличий расхождений обращаться в жалобой в ФСБ России и МинКомСвязи.

Смотря что считать телеметрией. Если говорить только о Customer Experience то отключить его можно, поигравшись со службами, планировщиком заданий и т.д. Но Windows все равно продолжить устанавливать подключения к серверам Microsoft по своим непонятным нуждам (при отключенной службе обновлений).

При этом методы борьбы с телеметрией отличаются от версии к версии. Старые штучки с новой Windows уже не проходят.
Подписывать документы (договоры) простой электронной подписью не самая хорошая идея. Подпись не гарантирует целостность документа, она открывает простор для мошенничества со стороны контрагента и содержит еще тьму других проблем. Ее имеет смысл использовать только для подписи малозначимых документов (отписок).

Самый простой вариант — использовать квалифицированную ЭП, оформленную на руководителей. Использовать подобную подпись для подписывания роботами (скриптами) не запрещено, так все банки работают.

Однако КЭП открывает слишком много возможностей для лиц (администраторов, если мы говорим про автоматизированное использование), кто ей обладает. Для минимизации рисков рекомендуется:

1. Использовать подпись на токене с неизвлекаемым ключом.
2. Внести ограничения в сферу использования подписи и закрепить их в сертификате.
Почти все проблемы, описанные в статье актуальны и для доменного варианта. Локальный вариант здесь рассмотрен в основном для наглядности.
Любая централизованная система сбора логов, взять хотя бы тот же ELK, использует локальные логи, как источник информации.

По большому счету, тут, в качестве примера, и была рассмотрена ситуация, когда злоумышленники противостоят централизованному сбору. Если централизованного сбора и анализа нет, то и противодействовать никому не надо, все равно никто эти логи смотреть не будет.
Кстати, в различных версиях Windows политики еще и переведены по-разному.
По логике вещей значения по умолчанию должны быть отображены в интерфейсе в виде предустановленный данных.
Подскажите, от утечки по каким побочным каналам позволяют защититься предложенные схемы смены ключей?

Навскидку, если шифратор «свистит» ключами по ПЭМИН, то подобные схемы вряд ли помогут…
Неплохой FAQ. Можно добавить раздел compliance. Вот в него первый документ:

Приказ Минздрава России от 24.12.2018 N 911н «Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций» (Зарегистрировано в Минюсте России 19.06.2019 N 54963)
Судя по статье проделана большая работа.
Подскажите, сколько людей участвовало в проекте, и сколько по времени был проект?
Сколько сейчас людей занимаются подобным анализом расходов?
Под владельцем сертификата я имел ввиду лицо, на которое выпущен сертификат (SubjectName).

По закону ответственность УЦ предусмотрена — это
ст. 13.22 КоАП РФ, но по факту система не работает, «левые» подписи выдаются и УЦ оказываются не виноватыми — это бред.
Вероятность вовлеченности УЦ в конфликт интересов («ваш пример с квартирой Дерипаски») сопоставима с аналогичной вероятностью, но в отношении нотариусов. Полностью исключить ее нельзя, но свисти к допустимому минимуму можно.

1. Документ удостоверяющий личность может быть как настоящий (или даже настоящий, просто незаконно выданый).

Такая проблема есть. Полностью защитить УЦ от мошенников нельзя. Тут может применяться принцип регрессии ответственности. УЦ отвечает за «левак» перед владельцем подписи, а сам в свою очередь взыскивает убытки с мошенников, которые его обманули.

УЦ обязательно должен нести ответственность за «левые» подписи, так как он по сути единственный инструмент защиты юридически значимого электронного документооборота. Кроме него просто некому обеспечить правомерность выдачи подписи.

Касательно ответственности УЦ — уже сейчас есть требования по капиталу, пусть не ярд, но то же вполне неплохо. Есть также лицензирование, аккредитация. Запустить УЦ для продажи квалифицированных ЭП сейчас мягко скажем не дешево, да и у государства есть все инструменты контроля.

Тут есть тонкий момент. Сейчас они говорят что Вася Пупкин из глухой сахалинской деревни лично пришел в УЦ Калиниграда и предъявил паспорт и завтра будут тоже самое говорить.

Поэтому в предложениях по исправлению проблемы № 1 есть фраза по фискальный видеорегистратор.

Разница в том, что банк рискует реальным активом, который ему добровольно доверил инвестор (вкладчик, владелец или государство). А УЦ может рисковать активом, который ему ни кто не доверял.

В точку. Сейчас УЦ не рискует ничем. Если же установить ответственность за выпуск «левых» подписей, то рисковать он будет. Активами будут уставной капитал, репутация руководителей, инвестиции в тех. средства.

Перенос ответственности на УЦ будет не страшнее переноса ответственности на банки за кражи денег с карт. В частности, по действующим нормам (п. 12 ст. 9 161-ФЗ), в случае кражи денег с карты банк обязан компенсировать ущерб клиенту.

Вообще очень странно, что дел по подделке КЭП до сих пор так мало.

По моим наблюдениям у преступников тоже есть своя «мода». То что вы сейчас видим, скорее всего является первой волной нового тренда.
Если УЦ будучи подвержен риску денежных компенсаций за выдачу «левых» подписей понимает, что выдача по доверенности слишком опасна, nj jн всегда может отказаться от этой деятельности или выработать дополнительные меры защиты.

Например, писать письма с запросом подтверждения регистрации КЭП (по крайней мере один федеральный гос. УЦ это уже делает), осуществлять выездную проверку, да и многое чего тут можно придумать.

Повторюсь, проблема идентификации личности стара как мир, но она в тоже время решаема, главное желание ее решать.

При всем этом обязательным условием будет обеспечение равноправия всех УЦ.
Т.е. ответственность за проведение почерковедческой экспертизы возложить на УЦ? :)

Именно так.
УЦ обязан отвечать за свои поступки. Выпуск «левой» ЭП должен чувственным образом бить по карману УЦ. Тут можно даже дополнительных требований к УЦ не вводить и оставить все на саморегулирование. Единственное, наделить УЦ правами в отказе выпуска ЭП.

Т.е. специалисты, например (в ПФР, МФЦ и т.д) не могут «распознать» подделку, а специалист в УЦ (с ЗП от 15 до 20 тыр.) обязан?

Я об этом уже писал. Требования идентификации должны быть усилены везде.

специалист в УЦ (с ЗП от 15 до 20 тыр.)

Если УЦ будет нести ответственность за выпуск «левой» подписи, то они согласно риск-ориентированному подходу будут принимать меры по обработке рисков. Среди которых скорее всего будут инвестиции в персонал, оборудование для проверки документов и другие средства обеспечения безопасности. В текущих реалиях им этого делать не нужно и соответственно мы имеет то, что имеем.

Перенос риска на УЦ за выпуск «левых» подписей не является чем-то ужасным. Банки при выдачи кредитов несут схожие риски и нечего, существуют уже тысячи лет.
Интересно, с помощью ваших фильтров можно отчистить воду из Москва-реки до состояния питьевой?

Было бы интересно, если в следующей статье специалист вашей компании, зачерпнул бы ведро воды, скажем рядом с Фрунзенской набережной, а затем с помощью фильтров (ну и возможно еще чего-нибудь) довел бы ее до питьевого состояния.
Так то оно так, но в прямых взаимоотношениях (без посредника), если одна из сторон пропустила «левую» доверенность, то она виновата сама, и в следующий раз контроль за доверенностями будет усилен.

В случае же с УЦ ситуация другая. Государство, через закон об ЭП заставляет доверять действиям УЦ и пострадавший никаким образом не может себя защитить.

В принципе, выпуск квалифицированных сертификатов по доверенности можно и разрешить, но законодательно перенести риск ответственности за выпуск сертификата по левым документам на УЦ, наделив последнего правом установки требованиям к доверенности.

Ситуация при которой УЦ делает невинные глазки и говорит, что мол злодеи дали левые документы, а мы хорошие и пушистые выпустили по ним сертификат, ни в какие ворота не лезет!
На одной из конференций по ИБ высказывалось мнение, что в случае принятие данной поправки маленькие УЦ просто тупо будут поглощены большими.

С судами все плохо. Посмотрите судебные решения в блоге Натальи Храмцовой.

Информация

В рейтинге
Не участвует
Откуда
Москва, Москва и Московская обл., Россия
Зарегистрирован
Активность

Специализация

Директор по информационным технологиям, Руководитель ИБ (CISO)
Ведущий
Защита информации
Информационная безопасность
Сетевая безопасность
Криптография
Форензика
IDS
Firewall
Администрирование сетей
Виртуализация
Системное администрирование