четверг, 17 сентября 2009 г.

Такие страшные инсайдеры

В очередной раз прочитал сакраментальную фразу: "70% утечек информации происходит по вине собственных сотрудников компании". На этот раз с упоминанием Gartner в качестве иточника.

Подобные утверждения обычно не вызывают отторжения: мы уверены, что так оно и есть. Но в последнее время моей "настольной книгой" стал отчет Verizon по результатам расследования инцидентов в 2008 году. Результаты несколько шокируют


По данным Verizon 74% утечек происходят в результате атаки внешнего нарушителя, причем в 43% случаях - непосредственно в результате атаки на ресурс. И только в 26% случаев в утечке следует винить субъектов, имевших легальный доступ к этой информации. Как утверждают авторы: "Результаты анализа 600 инцидентов в течение пяти лет являютя серьезным свидетельством против давней и глубоко укоренившейся веры в то, что  за большинством утечек стоят инсайдеры". Вот так, ни больше, ни меньше.

А правда, откуда у нас такой страх перед инсайдерами? Над Гартнером измываться не будем (как  оказалось, речь идет о довольно старом исследовании), но есть ведь и более новые исследования. Вот про инсайдеров напоминает CSI - по мнению опрошенных представителей западных компаний, почти половина из них в том же 2008 пострадала от собственных сотрудников (примерно столько же - от вирусов и кражи оборудования).


Не отстает и Perimetrix: по мнению опрошенных соотечественников утечка данных - настоящий бич российских компаний.


А виноваты, разумеется, все те же инсайдеры


Кто же заблуждается, Verizon или прогрессивное человечество в лице Gartner, CSI и Perimetrix? За правдивость Verizon ничего сказать не могу, а вот достоверность исследований двух последних оценить легко.



Оказывается, половина респондентов, так уверенно отвечавших на вопросы, даже не сталкивалась в 2008 г. с инцидентами, но их ответы, тем не менее, пошли в зачет. Но позвольте, из каких соображений они отмечали значимость той или иной угрозы? Хотел написать "фантазировали", но выскажусь более дипломатично: из соображений собственной убежденности, веры, интуиции. Короче, из каких угодно соображений, только не из реальных фактов.

Не берусь судить, как изменился бы расклад, если бы подобная статистика строилась только на фактическом материале по реальным инцидентам. Но то, что приходится наблюдать в российских компаниях, делает отчет Verizon весьма правдоподобным. Но об этом как-нибудь в другой раз, а пока отмечу одну мысль, которая беспокоит меня уже несколько лет: в российской информационной безопасности хвост виляет собакой.

Судите сами. Первые нормативные документы в области ИБ были опубликованы в начале 90-х годов (если не раньше). Разработкой этих документов занимались люди, профессионально занимавшиеся защитой информации в замкнутых, изолированных от внешнего мира системах и добывавшие информацию из таких же замкнутых, изолированных от внешнего мира систем. К сегодняшнему дню эти люди (настоящие профессионалы и очень уважаемые люди) подготовили одно-два поколения безопасников, вложив в них свои знания - и свои стереотипы. Ученик очень часто без сомнений принимает знания учителя -- и передает их дальше. Эти знания находят свое отражение в публикациях, докладах, диссертациях - и мы как-то забываем, что эти стереотипы уходят корнями все туда же - в защиту замкнутых, изолированных систем. А в реальной жизни мы имеем открытые системы, взаимодействующие с внешним миром по известным протоколам, имеющим не только устранимые уязвимости, но и системные недостатки.

И теперь любой "специалист по информационной безопасности", едва получив диплом, не имея ни малейшего опыта, уверенно и без запинки ответит:
"Наибольшими возможностями для нанесения ущерба организации БС РФ обладает ее собственный персонал"
или
"Угрозы доступа (проникновения) в операционную среду компьютера и несанкционированного доступа к ПДнмогут быть реализованы в случае получения физического доступа к ИСПДн или, по крайней мере, к средствам ввода информации в ИСПДн".

И очень удивляется, когда ему показывают, как легко и быстро контроль над защищаемыми им внутренними ресурсами компании получает внешний нарушитель.

Может быть, в консерватории пора уже что-то менять?

22 коммент.:

Анонимный 18 сентября 2009 г., 0:22  

Очень много во всех этих исследованиях играет цель исследователя и составленные под это вопросы.

Для примера на банкире я давал ответы на опрос http://dom.bankir.ru/showpost.php?p=2599751&postcount=122

См. п.3 этого опроса ;)
А именно из него сделан столь шумный вывод о том, что "ФЗ №152 "О персональных данных" остается запутанным и непрозрачным для 62% компаний, являющихся операторами ПДн, - выяснилось в ходе недавнего исследования ГК "Стинс Коман" - см. http://www.astera.ru/security/?id=71770

malotavr 18 сентября 2009 г., 0:49  

"Очень много во всех этих исследованиях играет цель исследователя и составленные под это вопросы."

Да, конечно, как и в любом другом социологическом исследовании.

Кстати, у меня вопрос к вам: как вы считаете, какие угрозы может на практике реализовать внешний нарушитель в отношении среднестатистического банка?

Анонимный 20 сентября 2009 г., 23:22  

>как вы считаете, какие угрозы может на практике реализовать внешний нарушитель в отношении среднестатистического банка?

1. "Чистый" внешний нарушитель:
1.1. Одиночка, даже очень "продвинутый" - не так уж много
1.2. Группа - в зависимости от ресурсов (не только компьютерных) - вплоть до "положить" банк (при комплексной атаке)
2. Внешний нарушитель, имеющий полную информацию об информационной системе (не только АС, а и о информационных потоках в банке и системе принятия решений) - но здесь уже пошли внутренние угрозы:
2.1. Одиночка - способен нанести серьезный ущерб
2.2. Группа - опять в зависимости от ресурсов - от серьезного ущерба, до полного "уничтожения"

Встречный вопрос: удачно проведенная внешняя атака на информационную систему (если причиной "пробоя" стал низкий уровень компетенции персонала "жертвы" или недофинансирование системы защиты) - это внутренние или внешние риски?

Dmitry Evteev 21 сентября 2009 г., 1:21  

to toparenko:

по статистике наших пентестов, в ряде случаев угроза "1. "Чистый" внешний нарушитель:" более чем реализуема.

>> Встречный вопрос:
во многом недооценка технологического пентеста приводит к тому, что удается реализовать большинство угроз из сети Интернет, используя исключительно уязвимости внешнего периметра.

Анонимный 21 сентября 2009 г., 1:40  

>> Встречный вопрос:
>во многом недооценка технологического пентеста приводит к тому, что удается реализовать большинство угроз из сети Интернет, используя исключительно уязвимости внешнего периметра.

Так и не ответили на мой вопрос ;)
Если уязвимости внешнего периметра являются следствием низкой компетенции обслуживающиего персонала "жертвы" или недофинансированности системы защиты (в том числе защиты внешнего периметра) - это внутренние или внешние риски?

malotavr 21 сентября 2009 г., 2:14  

> Одиночка, даже очень "продвинутый" - не так уж много

Вот все так говорят :)

Сейчас на примере реальных пентестов готовлю учебный курс по внешнему нарушителю. Типичный результат атаки "чисто внешнего" нарушителя (как раз в исполнении Димы Евтеева) - получение админского доступа к магистральным цискам, контроллеру домена, продуктиву SAP и т.п.

> Если уязвимости внешнего периметра являются следствием низкой
> компетенции обслуживающиего персонала "жертвы" или
> недофинансированности системы защиты

Риски я не разделяю на внутренние и внешние, но саму атаку отношу к внешним.

Анонимный 21 сентября 2009 г., 3:03  

>Риски я не разделяю на внутренние и внешние, но саму атаку отношу к внешним.

Вот здесь и "собака порылась (с)"

Я понимаю под "чистой" атакой одиночки если он сам выявил уязвимость и провел через нее атаку или провел атаку через общеизвестную уязвимость, по которой вообще, на момент атаки, отсутствует любая защита.

Использование необщеизвестных уязвимостей или групповой атаки - я отношу к 1.2.

А если имеются способы защиты от атаки (даже внешней), но эта защита не реализована или реализована "криво" - это уже внутренние риски. Как и атаки, через инсайдера (не внутреннего нарушителя, а внутреннего санкционированного пользователя - не важно использовали его "в темную" или иным способом).

Т.ч. Вы при ответе на вопрос про угрозы ответите подразумевая второй пункт как внешние угрозы, а я - как внутренние... Хотя и Вы и я будем подразумевать одно и тоже ;)

Неправильно заданный вопрос пророждает ненужный ответ (с)

malotavr 21 сентября 2009 г., 8:58  

А если имеются способы защиты от атаки (даже внешней), но эта защита не реализована или реализована "криво" - это уже внутренние риски

Причудливо мыслите :)

Я-то рассуждаю проще: делю угрозы на внешние и внутренние в зависимости от того, где по отношению к периметру защиты находится нарушитель :)

Анонимный 21 сентября 2009 г., 9:38  

>Я-то рассуждаю проще: делю угрозы на внешние и внутренние в зависимости от того, где по отношению к периметру защиты находится нарушитель :)

Тогда кто больший нарушитель: то, кто оставил/проделал дыру в защите изнутри или тот, кто ею воспользовался снаружи?

Ни один диверсант не наворотит столько сколько свой дурак (с)

Ригель 30 октября 2009 г., 11:37  
Этот комментарий был удален автором.
Ригель 30 октября 2009 г., 17:03  

52 страницы импортных букв - это тяжелый для меня объем, и смог только бегло пробежать картинки. И скажу, что когда респонденты финансовые, три четверти атак обнаружены третьей стороной и т.п. - это уже какая-то очень необычная картинка, чтобы результаты примерять к типовой российской конторе.
И вообще, если 3/4 данных получены при взгляде извне, конечно в них будут преобладать атаки, проведенные извне ))

А так, конечно, даже при самом добросовестном исследовании разброс можно получить три лаптя по карте - смотря что спрашивать и в чем исчислять.
Все же понимают, что результаты довольно условны и у интернет-магаза с угольной шахтой модель угроз разная.

malotavr 5 ноября 2009 г., 8:16  

Ригель,
в отчете Verizon вообще нет респондентов. Это исключительно результаты расследования инцидентов.

"All results are based on firsthand
evidence collected during data breach investigations conducted by Verizon Business from 2004 to 2008."

"три четверти атак обнаружены третьей стороной и т.п. - это уже какая-то очень необычная картинка"

В смысле, не соответствующая устоявшимся представлениям? Се ля ви, извините. Об том и речь.

Ригель 6 ноября 2009 г., 5:38  

Се ля ви, но не об том.

Та же оптическая иллюзия на примере Евтеева: все замеченные им баги ИБ могут быть использованы внешним нарушителем - чем не источник для статистики )))

malotavr 6 ноября 2009 г., 6:21  

"все замеченные им баги ИБ могут быть использованы внешним нарушителем"

Собственно, в этом и проблема: для многих наличие уязвимости - еще не повод их устранять. "А мы в домике, а нас ломать не будут, а мы хакеру не интересны". Когда подобные заявления делаются на уровне стандарта - начинается полная беда.

Есть статистика по тем же Web-приложениям: 90% сайтов содержат уязвимости уровня Critical, 50% - уровня Urgent. Однако же народ не особенно бросается эти уязвимости закрывать. Даже компании, работающие в ИБ, начинают закрывать дыры только после того, как их либо задефейсят, либо публично высмеют.

Поэтому статистика по уязвимостям не для всех убедительна, приходится подкреплять ее еще и статистикой по реальным инцидентам. Жалко, что ее мало :(

Ригель 6 ноября 2009 г., 8:00  

Дело не в том, что мало. Внешний эксперт видит только половину айсберга, при этом значительная часть этих рисков действительно может быть принята владельцем - это его право, ему лучше знать, что выгоднее. "Хакеры против директора столовой" все помнят?

Неужели действительно непонятно, в чем заведомая разница между иссследованиями, опирающимися на внешние и на внутренние наблюдения?

malotavr 7 ноября 2009 г., 1:21  

Ригель,
это демагогия. Чтобы принять риск, надо иметь о нем представление.

Я привел статистику по результатам расследований - т.е. то, что происходит в реальной жизни. И сравнил эту статистику с исследованиями, демонстрирующими представления респондентов. Как видите, представления о рисках настолько далеки от реальной жизни, что корректнее называть их фантазиями.

И мне как-то не импонирует привычка коллег принимать решения на основе фантазий.

Ригель 7 ноября 2009 г., 9:06  

Совершенно не так - реальные ущербы внешний наблюдатель не знает. Ладно, давай перенесем остаток диалога на будущее, а то уже в круг вошли.

malotavr 7 ноября 2009 г., 9:27  

"Совершенно не так - реальные ущербы внешний наблюдатель не знает."

Ригель,
пожалуйста, не измывайтесь над моим мозгом. Где вы раскопали "внешнего наблюдателя"? Вы, вообще, о чем?

Ригель 7 ноября 2009 г., 10:33  

Я о респондентах. А что?

Ригель 7 ноября 2009 г., 10:58  

Есть два исследования. В первом ALЕ предсказывают внутренние эксперты, не способные на большее, чем экстраполировать опыт предыдующих 10-15 лет. Во втором ALЕ предсказывают внешние эксперты, использующие публикации и интуицию. Я что-то упустил?

malotavr 7 ноября 2009 г., 12:23  

Во втором исследовании вообще нет ни опроса респондентов, ни анализ публикаций. Там только сухая статистика по результатам самостоятельно проведенных расследований.

За год компания расследовала для своих клиентов вот столько утечек. В стольких-то случаях утечки произошла в результате внешней атак, в стольких-то - в результате слива информации пользователями и т.д. :)

Анонимный 31 декабря 2009 г., 23:51  

[url=http://pittsburghmom.com/members/Pokimon2010/default.aspx/][img]http://i048.radikal.ru/0910/57/9a759e833d4a.jpg[/img][/url]

10602 movies of premium DVD quality

We secure thousands of the hottest movies you've been waiting to supervise! And they're stylish ready in Hi-Def!
These movies are playable on most viewing devices including iPod, PDA (HandHelds), PC, DVD & DivX players.
There are indubitably no limits. Download as much as you want with incredibly weighty speeds. No additional software is required!
Unreservedly click on a tie, download a cinema and guard it on your favorite player.

[size=4][url=http://pittsburghmom.com/members/Pokimon2010/default.aspx]Sign Up[/url] today and forget about buying or renting DVDs offline. [/size]


[url=http://movies.aoaoaxxx.ru/][img]http://s43.radikal.ru/i102/0910/9e/0ff505c137e0.jpg[/img][/url]





























[url=http://pittsburghmom.com/members/Pokimon2010/default.aspx][b]TOP 40 BEST Movies:[/b][/url]
Donkey Punch
Mercenary for Justice
Goodbye Lover
Agent Cody Banks
Gladiator
Cocaine Cowboys II: Hustlin' with the Godmother
Blob, The
Breed, The
Shut Up and Sing aka Wedding Weekend
Last of the Mohicans, The
Not Forgotten
Final Fantasy VII: Advent Children
Duel
Elite Squad, The
Rudolph, the Red-Nosed Reindeer
Leon (Professional, The)
Good, the Bad and the Ugly, The
Final Fantasy: The Spirits Within
Laramie Project, The
Fiddler on the Roof
Away We Go
Final Analysis
Blood Sisters
Demonsamongus
Bloodsport
Slumber Party Massacre, The
Librarian: Return to King Solomon's Mines, The
Conquest of the Planet of the Apes
Red Rock West
Day X


[url=http://coredeveloper.net/members/klarissagolutv.aspx]No Country for Old Men [/url]
[url=http://labnet.cc.isel.ipl.pt/members/ilijatrepov21.aspx]Problem Child 3: Junior in Love [/url]
[url=http://forums.pmy.myclassifiedsite.com/members/valerijaosiik60.aspx]Asylum [/url]
[url=http://coredeveloper.net/members/klarissagolutv.aspx]Moonshot [/url]
[url=http://nsigcommunity.com/members/ahdjacjuk10.aspx]Haunting, The [/url]
[url=http://navaly.org/members/klimperehodov7.aspx]Caprica [/url]
[url=http://blogs.mynd.ath.cx/members/kornejvernachev.aspx]Bridge on the River Kwai, The [/url]
[url=http://mauiview.com/upperbay/members/sajfuddinpamfi.aspx]Gerry [/url]
[url=http://tamerfarag.com/members/nuzarprohorenk.aspx]Desperate Hours [/url]
[url=http://novinewcomers.com/members/nimaatgaveshin4.aspx]Any Given Sunday [/url]

  © Blogger template 'Solitude' by Ourblogtemplates.com 2008

Back to TOP