Minutka deanona, mi nombre es Anatoly Makovetskiy, soy el líder del equipo de seguridad en Exness.
Me disculparé de inmediato con aquellos que esperan ver un artículo técnico, no estará aquí. Además, el material describe cosas que son tan obvias a primera vista que ni siquiera es un hecho que lo sean, pero puedes preguntarme razonablemente cómo me contrataron y cuándo dejaré de fingir estar seguro (responde en la imagen debajo del corte).
Ellos condujeron.
Imagen: Canal de Telegram Information Security Memes (https://t.me/infosecmemes)
Mis años previos en la profesión se han ido plasmando en empresas de tecnología, y como especialista en seguridad de la información, protegí ... información (cap), aunque espere si entender, como es habitual en nuestra industria, a veces hubo una buena combinación de protección de sistemas, sin una gran diferencia real, qué tipo de información contienen, cuán importantes son estos sistemas para los negocios, hay algo más importante ahora, y otras convenciones.
De acuerdo, es genial en ausencia de una administración estricta, procesos bien construidos, prioridades claras y otra felicidad, saltar de un sistema a otro, encontrar errores hermosos en la superficie o un poco más profundos sobre la base de la investigación reciente o la experiencia personal de otra persona, mostrando formas impresionantes de usarlos. Esto realmente le permite entablar un diálogo con otros equipos de TI y ganar algo de credibilidad. En algún lugar me llevaron al lugar equivocado ...
Sí, es cierto, la seguridad de la información real se basa en procesos, ISO, 27k en los dientes y fui a sacar el cerebro de TI y de la alta dirección, lo contaremos todo, lo explicaremos todo, lo justificaremos y lo demostraremos, nadie lo discutirá, después de todo, es necesario, pero ¿mejorarán nuestros procesos en el campo a partir de la introducción del próximo estándar?
De hecho, el mensaje es que debe intentar pasar a la idea raíz, a la protección integral y equilibrada de los valiosos activos comerciales, y no a "parchear" la seguridad; de lo contrario, se verá así:
Foto: s.66.ru
Tú eres yo Lo siento solo por ejemplos tan extremos en ambos lados, entiendo que esto no se puede llevar al grano, pero en mi propia experiencia fui llevado de un extremo a otro, exactamente como se escribió anteriormente, así que espero profundamente que haya una audiencia adulta decente aquí. , y mi experiencia es insignificante en el contexto de la suya, ya que comencé con el papel más completo en sus peores manifestaciones, luego suavemente a través de IT pasé a áreas prácticas, así que corrí de un extremo a otro, vi a los que se sentaban en estos extremos a mi lado, así que no estaba solo allí y notaré una cosa:
, , , , :
- , ( ), , , , , ;
- , - , , , , .
Ambos enfoques tienen sus lados positivos, ya que la atención insuficiente a cada uno de ellos genera sus propios riesgos separados, pero la verdad está en equilibrio, de lo contrario, la seguridad por el bien de la seguridad se obtiene en algún lugar cerca del caballo esférico en el vacío. Aquí llegamos a una evidencia más obvia:
- Los oficiales de seguridad de la información se están ahogando por la necesidad de proteger todo y a todos, a menudo sin establecer prioridades reales, y se regocijan ante cualquier oportunidad de
linchar públicamente a alguien que frunce el ceño con orgullopara demostrar su valía cuando alguien viola un proceso construido o inacabado. - Los guardias de seguridad prácticos a menudo se enfocan en evitar vulnerabilidades en cualquier lugar, ya que esto potencialmente compromete todo el entorno, pero también tiene brechas de priorización, dando mayor prioridad a un sistema más vulnerable que a uno más sensible pero menos * vulnerable.
Nota: *
, , , .
A menudo confiamos en la experiencia de otra persona, en las prioridades de otra persona, que leemos en alguna parte, que no siempre son incorrectas e inapropiadas, pero que a menudo no son lo suficientemente óptimas para condiciones específicas, de la categoría Inicio rápido, que a veces, sin embargo, puede justificarse las plantas rodadoras y las cometas están dando vueltas, y obviamente es mejor que nada, pero el negocio, mientras tanto, vive por sí solo.
Por cierto, ¿qué pasa con el diálogo entre empresas y seguridad? En mi opinión profunda, nosotros (los guardias de seguridad) muchas veces tratamos de venderle al negocio lo que él no entiende, lo que realmente no necesita y lo que no le aplica, o ni siquiera intentamos vender nada. Es decir, nuestra argumentación como representantes de la seguridad se basa en las ideas y fundamentos de nuestra propia industria, de la cual los negocios pueden estar muy lejos, y necesitamos motivarnos en un lenguaje claro y razonable, entonces el efecto será más predecible, a más largo plazo y la participación empresarial es mayor. En última instancia, deberíamos ir al negocio por el presupuesto, sin importar cuánto queramos que sea al revés :)
¿Por qué las empresas nos necesitan en absoluto? A veces, la seguridad es necesaria para el espectáculo, ya que simplemente se requiere. Dejemos esos casos y hablemos de los casos en los que la seguridad aparece debido a la comprensión de su necesidad. La empresa adecuada quiere
En primer lugar, debe comprender cómo la empresa gana dinero de esta manera, qué hace y para qué se esfuerza, y luego con todas nuestras fuerzas para protegerla. Si una empresa está criando pollos que ponen huevos y terminan en las mesas de personas amables como alimento, entonces protejamos a los pollos, sus huevos, los procesos que los rodean y la forma en que se entregan a las mesas. Si la empresa está involucrada en Big Data, entonces protejamos esta gran fecha, las computadoras, los datos sin procesar, los algoritmos y todo lo relacionado con él.
Entonces, para mi gran pesar, solo una pequeña parte de los colegas en el taller, en realidad, en la práctica, se da cuenta de la débil eficiencia del enfoque inconsistente con el negocio y con la posterior implementación de un modelo de trabajo de trabajo sobre las prioridades comerciales. ¿Y qué nos permite identificar amenazas reales? Así es, modelándolos.
Hagámonos a un lado por un momento e imaginemos el proceso general de modelado de amenazas como yo lo veo:
- Definimos los activos valiosos de la empresa, y los valiosos son aquellos, cuya violación de las propiedades en última instancia conduce a pérdidas, según la experiencia, que en última instancia se reducen a financieras, directa o indirectamente, si hablamos de una empresa comercial. Aquí, por regla general, obtenemos esta o aquella información, que debemos proteger por nuestro propio interés o por razones reglamentarias. No tuve la oportunidad de trabajar en minas de oro, tal vez no haya información en primer lugar.
- Clasificamos los activos más valiosos para priorizar de alguna manera.
- , , , , , ( , - , , , , ).
- .
- , , , , , , .
- .
- , **, .
: **
. , , .., , , , , , , , , .
Entonces, antes, por experiencia, siempre tenía información con el activo protegido, esto era suficiente para generar protección, pero cuando llegué a Exness y comencé a formar un modelo que toma en cuenta las peculiaridades locales, no pude desprenderme de la sensación de que faltaba algo, que algo luego se perdió lo importante hasta que me di cuenta (sí, ríase de mí, el impostor de seguridad que escribe este post, y la obviedad de lo que está pasando):
"Hay dinero en fintech".
Cualquier empresa tiene dinero. Cualquier empresa, al menos tarde o temprano, paga sueldos a los empleados, alquila una oficina, realiza algún tipo de actividad económica y da trabajo al departamento de contabilidad, pero se trata de tener una cuenta bancaria, o, además de un sistema de pago integrado con la web, pero fintech tiene dinero real, mientras que los usuarios externos trabajan con él, y una buena parte de las operaciones con él está automatizado. Vaya ...
Ahora imaginemos que además de un montón de información relevante para el negocio y otra información protegida, sí, incluidos los créditos y las claves de la banca por Internet, que todos tienen y también sobre el dinero, usted tiene al menos dinero real de los clientes que ellos hacen. a sus cuentas dentro de sus sistemas. Es decir, de hecho, dentro de los sistemas esta es la misma información que todo lo que los rodea, pero de hecho es dinero que se transforma en información y vuelve a los límites de los sistemas, pero no debe tratarlos como información ordinaria.
La siguiente imagen muestra un diagrama de flujo de uno de nuestros productos :)
Imagen: Serie “DuckTales” Walt Disney Television Animation
Además, alejarme del paradigma de que solo protegemos la información hizo posible comprender otro tipo de recurso valioso que antes había descuidado, pero que está presente en todos, aunque es bastante ambiguo, una relación que puede ser una asociación con un cliente / proveedor de tráfico, o con un proveedor de servicios de comunicaciones / seguridad / infraestructura. Por supuesto, antes siempre lo consideré implícitamente, pero en el contexto de la implementación de una amenaza en el vacío, de la categoría de Plan de Continuidad de Negocio y Plan de Recuperación de Desastres, pero aquí se ha transformado en conciencia en un activo plenamente consciente que vale la pena identificar y proteger, lo que amplía nuestra cobertura, por lo que cómo empezamos a movernos en este sentido no solo desde las amenazas conocidas, sino también desde el propio activo, como desde un objeto potencialmente expuesto a amenazas desconocidas, pero ahora no se trata de eso.
Si miras más de cerca, puedes ver dinero desde todos los lados:
- Como mínimo, existe la misma actividad comercial que en cualquier otra empresa.
- Hay productos que están relacionados con las transacciones financieras y la rapidez de su implementación, que contienen la lógica real de la entrada y salida de fondos, es decir, el dinero no se puede sacar a una caja fuerte distante y solo se les da un vistazo una vez al día después de una ceremonia especial con "reverencias". y "desvestirse" por completo. Deben manejarse en sistemas y, cuanto más rápido, mejor para los negocios, a menudo.
- Existe una gran cantidad de diferentes sistemas de pago y otras herramientas, cada una de las cuales tiene su propia implementación de interacción, restricciones e integración.
- Existe una infraestructura en la que operan los productos.
- , ; , ; , ; , - .
- , .
Como resultado, hay una gran cantidad de uniones de activos, sistemas, usuarios, empleados, socios, procesos y, como regla, recibimos las principales amenazas en las uniones, y las uniones adicionales crean nuevas amenazas.
Todo esto significa que en la raíz se encuentra no solo la información o los datos que son familiares para los oficiales de seguridad de la información, sino también activos de otro tipo, como el dinero, que, dada la escala de "desastre", es bastante difícil de trasladar exclusivamente a información y datos que todos conocemos. La implementación de una amenaza contra algún tipo de información familiar no siempre conduce a daños, y en el caso del dinero, cada transacción tiene un valor mínimo conocido e inequívoco, especialmente cuando estamos hablando de su paso bastante rápido, que solo puede aumentar a partir de la naturaleza de la amenaza.
Es decir, en el caso de la banca por Internet o las criptomonedas, tienes créditos / secretos / claves para acceder a ellas (resumidas por la palabra “secretos”). Los secretos son información, pero también existen procesos, procedimientos y ceremonias para trabajar con ellos, y un círculo relativamente reducido de personas para trabajar con ellos. Aquí tampoco se rompe el concepto de protección de la información, pero cuando pasamos a la etapa de pasar la lógica de pago directa o indirectamente a través de todo lo que nos rodea, así como a "manchar" el dinero en diferentes productos y sistemas, la situación se vuelve mucho más complicada :)
Al final, lo único que debemos esperar es nuestra conexión con los negocios y nuestra buena comprensión de ellos, lo que se traduce en una cierta experiencia interna, que podemos y debemos bombear continuamente y cambiar de inmediato a un modelo de amenaza real, que a su vez debemos imponernos sobre las características de nuestros sistemas para evitar la ruptura y el azar y, como resultado, la falta de sentido en todo nuestro trabajo.
Perdóneme que haya tantas palabras sobre un pensamiento tan corto, pero me gustaría que todos en la industria de la seguridad de la información volvamos a pensar en qué y cómo lo hacemos, y si se nos brinda esa oportunidad, entonces hagamos todo bien, para que todas las etapas se coordinaron entre sí, y si no se da esa oportunidad, luchar por ella, si vale la pena, de lo contrario siempre estaremos varios pasos detrás de los atacantes, ya que generalmente conocen bien sus objetivos y los siguen, a diferencia de nosotros.
Si este material no falla en su totalidad, entonces intentaré revelar con más detalle y orientación práctica los principales enfoques, “herramientas” y visión subjetiva de temas como:
- Mi "bicicleta" sobre el tema del modelado de amenazas (si hay demanda, ya que hay suficientes bicicletas incluso sin la mía);
- (No) confianza y seguridad;
- Bug Bounty, cómo lo hacemos y por qué nos esforzamos;
- Comentarios sobre las peculiaridades del mercado de habla rusa de especialistas en seguridad de la información después de una larga experiencia como entrevistador;
- Qué debería impulsar la seguridad.
Si llegó el material, agregue, si el error, ahogue en los comentarios. Siempre feliz por la retroalimentación constructiva, ya sea positiva o no.
¡Toda amabilidad y un enfoque profesional equilibrado!