Чему нас НЕ учат случаи МТС, СДЭК и КБ Радуга или Имитационная Безопасность
История
МТС
Утром 17 марта (2024) стали недоступны VDS‑серверы одновременно в двух датацентрах CloudMTS — в 03:30 в 1cloud.ru, в 03:45 в oblako.kz
Сервер в oblako.kz ожил 18 марта в 22:25
Сервер в 1cloud.ru ожил 23 марта в 15:40
(Хабр)
1Gb — аналогично, 17 марта 2024, цитата:
Примерно в 7 утра 17 марта сеть хостинга была подвергнута беспрецедентной агрессивной хакерской атаке, целью которой было полное уничтожение данных на серверах нашей компании. В результате действий злоумышленников работа хостинга была парализована, а данные и операционные системы на многих рабочих серверов безвозвратно уничтожены. К сожалению в ряде случаев резервные копии также были уничтожены, хотя в основном копии присутствуют.
В комментариях пишут неприятное.
СДЭК
С 26 мая 2024 по 2 июня 2024 СДЭК не работал.
Что писал СДЭК ? Цитата:
Вследствие технического сбоя в настоящее время не работают приложение и сайт СДЭК, а также невозможны приём и выдача отправлений на ПВЗ. Источник — сайт СДЭК
Что общего у этих трех, возможно больше, случаев?
Случаев, конечно, больше трех. Тут и утечка данных из кредитов \ МФО, и утечка у РЖД, и недавние заявление ИТ г. Москвы, что у них ничего не протекало (см. Департамент информационных технологий города Москвы_2023.csv.), и свежая утечка ИБД «Спектр» — система обеспечения противодействия страховому мошенничеству Российского Союза Автостраховщиков (РСА), с ДТП физлиц, цитата:
Данные по ДТП физлиц содержат 58,6 млн записей:
Общее у них всех одно, все утечки и проблемы заканчиваются одинаково:
— отсутствием каких-то указаний на то, что событие вообще было,
— заявлениями, что 6 июня эти данные будут рассмотрены на совете директоров СДЭК в рамках внеочередного заседания по определению принципов и подходов к организации управления рисками. Источник .
Рассмотрели, приняли, проголосовали?
— отсутствием каких-то публичных, да и не публичных тоже, выводов и рекомендаций. Кроме классических — делайте хорошо, плохо не делайте, мойте руки, чистите зубы, меняйте носки и пароли каждый день. И ни слова про то, что не используйте уже ранее взломанный Anydesk и не используйте любые системы онлайн хранения паролей, их тоже взламывают.
С моей точки зрения, ситуация понятна.
Если начать расследование по настоящему, то можно выйти и на самих себя.
Выйти на тех людей, которые годами согласовывали заявки на поиск сотрудников без фактического найма, отчего оставшиеся делали кое-что и кое-как.
Выйти на тех HR, которые годами не хотели и не хотят делать свою работу по настоящей оценке рынка — какая квалификация сколько стоит, и почему для найма надо прямо писать оклады в вакансиях. МТС, к примеру, так и не начал что-то делать по настоящему, даже после падения. Сразу видна цена рассказам про дефицит высококвалифицированных низкооплачиваемых кадров.
Можно выйти на весь отдел имитационной безопасности. Отдел, скорее всего, выпустил 20 журналов инструктажей по тому, что надо менять пароли на сложные, и менять как можно чаще — идеально два раза утром и один раз вечером. Или, как и положено в той организации, откуда берут на работу в отдел имитационной безопасности — выпустить инструкцию что вечером, при уходе с работы, нужно сдавать Систему Хранения Паролей (тубус) и неизрасходованные одноразовые пароли под роспись в комнату хранения паролей.
Который год нет каких-то общедоступных рекомендаций по процессу внедрению AppLocker, Windows Defender Application Control (WDAC) или хотя бы запуску старого, проверенного и простого в настойке Software Restriction Policies (SRP). Конечно — если хоть что-то работающее внедрить, то как потом писать статьи «ой у нас кто-то что-то нажал».
Можно, конечно, взять digsig из 2006 года, назвать модной аббревиатурой …
Еще неплохо внедрить любой российский антивирус или еще какое-то средство слежения, которое с каждым обновлением портит что-то новое, пытаясь перехватить то, что не стоит. И потом героически его чинить две недели.
Или, может, в Debian 10, то есть Astra Linux Special Edition, кроме логов, — уже внедрен функционал SRP? Или даже Local Администратор Password Solution (Windows LAPS) ?
Или где-то есть описание для Астры (и любого импортозамещающего дистрибутива), как делать правильный и годный /etc/sudoers, не говоря о том, как сделать что-то аналогичное связке PowerShell Web Access (PSWA) + CredSSP + SDDL (Security Descriptor Definition Language для Security.AccessControl.CommonSecurityDescriptor) ?
Или, может есть решение для Linux (включая те, что рекламируются как почти полноценная замена AD) для тех, кто любит хранить пароли в Excel, аналогичное Active Directory Rights Management Services (AD RMS) ?
Как быть с тем, что имитационная безопасность в принципе не понимает, что такое debug privilege и kernel Secure Mode debugging? не говоря уже про базу из баз — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RunAsPPL?
И тот же вопрос в сторону типа российской виртуализации — есть там что-то хотя отдаленно похожее на описание использования SSH Forced Command?
Хотя, совсем недавно эксперты по ИБ из одного интегратора, не стесняясь, прямо на Хабре предлагали плюнуть на все рекомендации Microsoft и отключать ipv6. Хотя, кажется (я не уверен), узнали о существовании Prefer IPv4 over IPv6 in prefix policies, может и про krbtgt что-то узнают.
Критикуешь — предлагай?
Было бы чего критиковать. Идея по переходу на имитацию, идентичную натуральной, идет не снизу, и не от бизнеса. Есть Госсопка, есть 187-ФЗ КИИ, есть 367 и 368 приказы, есть 27001 ГОСТ, есть масса методик. Есть даже какие-то организации по запретам входа не в ту дверь, с гордыми надписями «защитники интернета от чего-то». Целый CEO-вет есть — Совет по развитию профессиональной сертификации ИТ-специалистов при Ассоциации предприятий компьютерных и информационных технологий (АПКИТ).
Есть даже массы новорегов на хабре, при этом не просто набегающих в статьи с «рря вретииии», но еще и такие новореги, чьи первые и единственные комментарии автоматически тут же ободряются. Хабр — официально зарегистрированное в РФ СМИ, не удивляйтесь.
Простой и наглядной документации «вот так точно работает», собранной в одном месте, и читаемой — нет.
Рассказам новорегов с их «да у меня все работает, вы просто нейросеть и ненавидите всех человеков» — я не очень верю, статей про то, как именно и сколько «все» у них работает — нет.
Набора рекомендуемого ПО даже для простого хранения паролей, вместо бесконечных текстовых файлов, общего Excel, или индивидуально хранимых паролей — нет. Есть 1.5 российских решения за «очень дорого» . Есть обзоры (пример), но нет ни одного обзора по «вот мы применяем, вот так там с LDAP, вот так с группами, вот так с тегами, что еще пробовали». Тот же Bitwarden требует ключа от разработчика и бесплатно не работает с LDAP. Vaultwarden кто-то анализировал ? Не похоже.
Пошаговых открытых рекомендаций, как спроектировать и настроить внутренний SOC — нет (хотя, там ничего сложного, работы на один человеко-месяц)
Описанного функционала для внедрения чего-то сложнее sudo — нет (хотя сам механизм в Linux есть).
Хотя … учитывая рекомендации для некоторых продуктов «первым делом отключите SELinux», я не уверен в способности написать даже инструкцию по запуску этих продуктов, не отключая SELinux. И это вы еще не представляете, как systemd 256 пойдет на десктопы.
Если говорить про системы хранения данных и их роль в предотвращения шифрования, про такие механизмы как snapshot schedule + read-only replica — когда на системе хранения данных делается снапшот только для чтения и не удаляемый почти никак (хотелось бы верить, что консистентный, но в случае русифицированных Linux кто, интересно, выполнит роль VSS?), который затем может реплицироваться на другую СХД — то покажите этот пункт в открытой документации на российские СХД, это ж просто репликация, байты туда — байты сюда, чего сложного?
Про решения уровня IndexEngines или Crowdstrike или хотя бы простого, элементарнейшего FCM4 или Autonomous Ransomware Protection (ARP) речь, наверное, даже не идет.
Может, пора уже объявлять год национальной программы восстановления производства АРВИД ? Для замены LTO? Что-то аналогичное IBM 726 смогут за пару лет сделать на Микроне, там даже 1000 нм не нужно.
Хотя … в Ростехе не смогли сделать фотографию нового, своего же, аналоговнета, цитата:
Отечественные разработчики создали полноценный одноплатный компьютер под названием МП21, собранный на базе процессора «Эльбрус-2С3», сообщили CNews представители госкорпорации «Ростех».
К моменту выпуска материала фотографии МП21 в открытом доступе отсутствовали. В «Ростехе» на запрос его снимков ответили отказом. Источник
Сколько это могло бы стоить
Сколько может стоить работа выше:
написать 50 (примерно) базовейших инструкций и руководств с картинками,
собрать демо-стенд под проверку инструкций,
собрать на одном сайте проверенные дистрибутивы, а точнее исходники, чтобы сборка шла в закрытом контуре заказчика, и заказчик был уверен, что он собирал из именно этой версии исходников?
Плюс опыт внедрения на 1–2 заказчиках, плюс переобучение из имитаторов безопасности в информационную безопасность ?
В процедуре обучения ничего нового нет, это 10–12 базовых курсов по сетям, ОС, безопасности и влиянию на бизнес, то есть 10–12 недель по 500$ за недельный курс, плюс экзамены. SABSA, CompTIA, eCIR для самых маленьких.
На написание инструкции по базовым принципам и внедрению практик по системному администрированию нужно … не так много. Инструкция пишется примерно неделю, если знать чего писать. Для ее написания нужно 3 человека — при этом, один из них нужен всего на 8 часов в неделю для написания оглавления (скелета) черновика, второй нужен для написания черновика самого по себе, и третий — для оформления черновика в читаемом виде. На проверку инструкции будет нужно еще 80 (всего) рабочих часов 2 линейных специалистов (2×40), так что можно сказать, что совокупная стоимость инструкции составит:
8×100 $, итого 800 $ — консультации сеньора (на весь процесс)
40×50$, итого 2000 $ — написание черновика и снабжение его ссылочным аппаратом, развертывание стендов, проверки и дополнения после написания.
40×25$, итого 1000 $– оформление инструкции в еще более читаемом и упрощенном виде
80×10$, итого 800 — проверка инструкции, и исправление ошибок.
Итого 5000$ за инструкцию, на 50 инструкций по базовым принципам — 250k$.
Очень недорого, сравнимо с давно озвученным финансированием продвижения новорегов с криками рррря, и сравнимо (может, и дешевле) с ценой пары конференций в Сколково.
Ничего этого нет, значит реальная информационная безопасность не нужна.
Что вместо?
Как говорил один мой знакомый — покойный — цитата:
из режима «Всё идет по плану» казённая медийка переходит в режим «Идёт ликвидация ответственными лицами отдельных недоработок». Ключевой момент — «ликвидация недоработок» должна быть полностью заслугой «ответственных лиц». Системных «ответственных лиц». «Всё пошло немножко не по плану, сейчас поправим».
Непризнание кризиса кризисом является главным признаком системного кризиса. То есть система свои проблемы не рефлексирует как системные, изменения в механизм работы не вносятся. И решать их нормально не решает. И, в целом, продолжает работать «по плану и с опережением графика»
то есть, сейчас всегда виноват сисадмин, или простой линейный сотрудник. Который не то нажал, не то открыл, не так понял приказ руководства.
Что в Роскосмосе в 2022 за FreeRADIUS выдали 1.5 года условно, при этом ни начальник, ни ИБ как бы и не при чем.
Что в КБ Радуга — проблемы не в отсутствии бекапов, не в том, что на увешанных DLP– локальных компьютерах — лежит очень важный Хлам, не в том что первый отдел не провел пояснительной работы –, а в том, что кто-то с кем-то поссорился.
Конечно, так проще. Знай себе выявляй врагов народа, можно даже и на Хабре.
Что делать сотруднику? Очевидно — читать классическую литературу:
As you value your life or your reason keep away from the moor.
Habrahabr.ru прочитано 2537 раз
