Колядка про Vulnerability Management "Пропатчите уязвимость". 🙂 Наигрывал сегодня разные новогодние и рождественские песенки, и мне пришла в голову идея, что "We Wish You a Merry Christmas" с требованием инжирного пудинга отличное описывает процесс пушинга исправления критичных уязвимостей.
Что, в общем, и накидал по-быстрому. Подозреваю, что это первая песня, которая упоминает "НКЦКИ". 😅
Поздравляю всех с наступающим Новым 2024 Годом! Всем здоровья, счастья и интересных задачек! Ура! 🎄🎉
ИБшники радостно перекидывают друг другу pdf-ку с новогодним поздравлением якобы от НКЦКИ, оформленным под бюллетень безопасности. Хотя на safe-surf такого бюллетеня с поздравлением нет. 🧐 Не буду утверждать, что конкретно эта pdf-ка зловредная. Но выглядит как идеальная тема для атаки на российских ИБшников, пока они на расслабоне. ИБшник, бди!
Upd. По поводу данного конкретного кейса пишут, что pdf-ка прилетела в почтовой рассылке с правильного адреса, а safe-surf выкладывает всё с задержкой. 😉 Так что панику не разводим, но как возможный сценарий атаки учитываем.
"Аленький цветочек" и приоритизация уязвимостей в условиях неполной информации. Когда нашего сомнительного купца просят привести цветочек "краше не было на белом свете" он отвечает ровно так, как стоило бы отвечать Vulnerability Management специалисту на просьбу найти самую критичную уязвимость в инфраструктуре:
"— Ну, задала ты мне работу потяжеле сестриных: коли знаешь, что искать, то как не сыскать, а как найти то, чего сам не знаешь? Аленький цветочек не хитро найти, да как же узнать мне, что краше его нет на белом свете? Буду стараться, а на гостинце не взыщи."
Какую-то критичную уязвимость выделим, а вот гарантировать, что эта уязвимость будет наиболее критичной из существующих - тут извините. Способы детектирования и наши знания о характеристиках уязвимостей существенно ограничены. Не взыщите. И занимайтесь лучше безусловным патчингом. 😉
Ходили сегодня с семейством в театр на "Аленький Цветочек". Что-то я в детстве не обращал внимание как купец рассуждает о том, что гостинцы дочерям достать будет непросто. Вот про "золотой венец":
"— Хорошо, дочь моя милая, хорошая и пригожая, привезу я тебе таковой венец; знаю я за морем такого человека, который достанет мне таковой венец; а и есть он у одной королевишны заморской, а и спрятан он в кладовой каменной, а и стоит та кладовая в каменной горе, глубиной на три сажени, за тремя дверьми железными, за тремя замками немецкими. Работа будет немалая: да для моей казны супротивного нет."
Со вторым подарком аналогично, только замков больше и с вооруженной охраной. 🤨
Так и хочется спросить: дядь, а ты точно купец? 😏 Кажется тех, кто занимается такой "работой", называют как-то иначе.
Сходили сегодня на "Сказки старого фонаря" в театр А-Я. Музыкальный спектакль по мотивам сказок Г. Х. Андерсена «Принцесса и свинопас», «Оловянный солдатик, «Снежная королева» и «Старый уличный фонарь». Очень понравилось. Особенно сцена собеседования фонарщиков в начале, т.к. собеседования ИБшников напомнило. 🙂
Было 2 кандидата. Один из них заявил примерно следующее:
"Я из семьи уважаемых стекольщиков, разбираюсь во всем, что связано со светом. В школе учился на все пятерки. Вот мой аттестат, дипломы и рекомендации. Обязуюсь аккуратно исполнять свои обязанности и вовремя зажигать и тушить фонари".
Второй заявил:
"Мне нечего сказать кроме того, что я с детства хотел зажигать и гасить фонари, потому что это красиво и нужно всем людям. Обещаю, что буду стараться… А если вы не возьмёте меня, то я уйду из города и подамся в разбойники или пираты".
Взяли второго. Почему? Да фиг его знает.
Собеседование это во многом лотерея и никогда не угадаешь что в голове у собеседующего происходит и на что он в первую очередь смотрит. 🙂 Но упомянуть к какому делу у тебя страсть тоже никогда лишним не будет.
А потом по прошествии времени тот парень, которого не взяли фонарщиком, дорос до бургомистра города и устроил всем веселенькую жизнь (особенно тем, на кого был обижен).
И это тоже напоминание о том, что собеседование надо проводить корректно, уважительно, а не оттягиваться на кандидатах. Мир тесен (особенно ИБшный) и никогда не знаешь как у кого сложится и при каких обстоятельствах может жизнь дальше свести. Роли вполне могут поменяться на противоположные, тогда будет неприятно и некрасиво. 🙂
Вынужденно смотрю много детских мультов, в частности "Маленькое королевство Бена и Холли". Понравилась одна серия про принятие риска ТОПом. Распространенный финт в Управлении Уязвимостями и в ИБ вообще. Посмотрите, всего 10 минут.
Серия называется Банти 2. Сюжет следующий. Мистер Эльф строит лодку Банти 2. Почему 2? Потому что первую лодку Банти съела рыба Большой-злой-Барри. Лодка идеально подходит для круиза по тропическим морям. Но как защитить её от Большого-злого-Барри? У Мистера Эльфа есть решение - "Банти 2 никогда не спустится на воду".
Защищаем уязвимый актив через ограничение (сетевого) доступа. Как это часто бывает с компенсационными мерами, выглядит это довольно по-дурацки, но задачу решает. 🙂 Почему не рассмотрели внедрение средств обнаружения и защиты история умалчивает. Можно предположить, что на это не было бюджета. Поэтому вот так.
Король Чертополох заявляет, что это нелепо и у него есть идея. Он заявляет Мистеру Эльфу:
- Как король я приказываю тебе спустить Банти 2 на воду и отправиться в тропический круиз.
- Но как же Большой-злой-Барри?
- Не бойся, если Барри съест Банти 2 я возьму ответственность на себя
- Что это значит?
- Будешь винить во всем меня
- Но, но…
- Чудно, тогда решено, мы едем в отпуск!
- Лаадно…
Т.е. ТОП пушит принятие решения по небезопасной эксплуатации актива, владельцем которого он не является. Владелец актива прогибается, при этом у него на руках нет ничего кроме расплывчатой устной договоренности.
Далее Банти 2 успешно уплывает от Большого-злого-Барри, но в итоге её съедает Гигантский Осьминог. Происходит диалог:
- Ааа! Моя лодка съедена, я же говорил вам!
- Нет, ты говорил, что её съест Большой-злой-Барри, но её съел Гигантский Осьминог.
- Это катастрофа…
- Не волнуйся, я обещал взять ответственность на себя и я возьму.
- И?
- И всё, я взял ответственность на себя.
Ущерб нанесен, никакого возмещения с ТОПа истребовать теперь невозможно. Крайним оказывается владелец актива. Чтобы было совсем по классике по итогам должно быть что-то от ТОПа: "Когда я говорил, что принимаю риск, я не понимал всей опасности, ведь не я же профессионал в этом, а вы! Это ваш актив! Зачем вы меня слушали? Это ваша вина!" Крыть такое особенно нечем. 🙂
Мораль для реальной жизни?
1. Не ведитесь на "я принимаю риск", "ответственность на мне".
2. Моделируйте что будет в случае реализации риска. Возможный ущерб лучше переводить в деньги.
3. Аккуратно фиксируйте договоренности, слова к делу не пришьешь. Предложение написать заявление по собственному с открытой датой на случай реализации риска обычно заставляет человека задуматься, а стоит ли упорствовать.
4. Подумайте что вы будете делать, если завтра этот ТОП сам уволится, а наследовать этот риск никто не захочет, не окажитесь ли вы при этом крайним.
5. Информируйте о происходящем CEO/Board. Возможно они вообще не в курсе и их точка зрения будет гораздо ближе к вашей, чем вы думаете.
6. Старайтесь не работать с чудаками.
Сходили с семейством на "Сказку о царе Салтане". Ничего так. Про проблемы с ИБ в Saltan Inc. и крайне удачливый, но и крайне мутный IT-стартап GWI Done. 🙂
1. Проблемы с ИБ в Saltan Inc. видны с самого начала. Ключевой сервис GONE.c компании подвержен критической уязвимости, позволившей злоумышленникам провести атаку "человек посередине" (MitM) и выполнить действия от имени CEO Салтанова. Процедуры подтверждения решений не было, платёжка прошла, активы ушли в "бездну вод". Инцидент замяли. Крайним выставили CTO Гвидонова, которому пришлось покинуть компанию.
2. Гвидонов запускает стартап GWI Done. Разработка PoC ведётся в режиме жёсткой экономии и по Agile:
"Ломит он у дуба сук
И в тугой сгибает лук,
Со креста снурок шелковый
Натянул на лук дубовый,
Тонку тросточку сломил,
Стрелкой легкой завострил"
Гвидонову необыкновенно везёт, он знакомится с ключевым инвестором и будущим партнёром по бизнесу, влиятельной г-жой Лебедевой. Это предрешает успех всего предприятия. После первого успешного проекта получены инвестиции, гарантирующие развитие компании на годы вперед. За счёт этих средств успешно запустили блокчейн-платформу Belka.
"Из скорлупок льют монету,
Да пускают в ход по свету;"
"Князю прибыль, белке честь"
Силовую поддержку бизнеса обеспечивают, "братья" Лебедевой под руководством Черноморова.
3. Кульминационный момент это сделка о недружественном поглощения Saltan Inc. со стороны GWI Done. Ключевую роль здесь снова сыграли проблемы с ИБ в Saltan. Успешная APT атака позволила Гвидонову и Лебедевой получить доступ ко всем переговорам внутри Saltan Inc. в реальном времени (почта, месенджеры, сервис телеконференций) и купировать все попытки противодействия ТОПов Saltan. Не брезговали даже причинением лёгкого вреда здоровью ТОПов. В итоге Гвидонов и Лебедева успешно отжимают бизнес, расходятся относительно мирно с предыдущей командой, даже номинально оставляют в компании Салтанова, и продолжают жить-поживать, да добра наживать.
Мораль: связи решают, а проблемы с ИБ могут иметь самые плачевные последствия для бизнеса. 🙂
В прошлый раз про Данилу-мастера разбирал.
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.