Выпуск 23 ч.2 
Аудит защищенности информационных систем (ч2)
 

Гости студии Аркадия Прокудина:

 

АйТи – Юрий Наумкин

KPMG – Антон Сапожников

Positive Technologies – Евгения Поцелуевская

СовКомБанк – Никита Ремезов

 

Вопросы

 

5. Сделать самостоятельно или привлечь со стороны? (утечка данных против беспристрастности)

6. Сколько сотрудников и каких нужно для самостоятельного аудита?

7. Как часто нужно делать аудит?

8. Как убедить свое руководство выделить средства на аудит защищенности ИС?

 

Также пару слов о предстоящей PHDaysV

 

Длительность: 27 минут

Текст программы:
 

АРКАДИЙ ПРОКУДИН: И вот мы снова говорим с вами об «Аудите защищенности информационных систем» в подкасте "Открытая безопасность" Часть 2. С нами сейчас Юрий Наумкин компания АйТи, Антон Сапожников из KPMG, Евгения Поцелуевская – Positive Technologies и наконец-то к нам присоединился Никита Ремезов (СовКомБанк) из далекого Новосибирска, правильно?

НИКИТА РЕМЕЗОВ:  Все верно!

АРКАДИЙ ПРОКУДИН: Привет Никита! Наконец-то с нами. Никита, мы уже поговорили немного о том, что такое аудит защищенности, из каких этапов он состоит, как правильно проводить аудит защищенности NONE-STOP-систем. Скажи, а был ли у тебя опыт по проверке взаимодействия подразделений безопасности и IT при обнаружении атак?

НИКИТА РЕМЕЗОВ: Знаешь, Аркадий, нас сама жизнь и реальные инциденты заставляют «это-самое взаимодействие» постоянно проверять. Простой пример из жизни. В банке, неожиданно, на рабочей станции, далеко-далеко в центральной Сибири, в деревне, обнаруживается программа MiMiKatz. Это та программа, которую злоумышленники используют для того, чтобы похищать пароли от системы Windows и Active Directory. Естественно, в этом регионе никакой информационной безопасности нет. Есть только в 100 километрах от этой точки один айтишник. И вот, в этот момент, мы начинаем с ним вместе взаимодействовать. О том как отреагировать на этот инцидент, и что сделать… Поэтому, по направлению ИБ нет ничего специфического, чтобы мы проверяли что-то. Нам достаточно реальных инцидентов и реагирования на них, чтобы увидеть как информационная безопасность и IT вместе взаимодействуют и решают эти проблемы.

АРКАДИЙ ПРОКУДИН: Самостоятельно можно провести у себя работы по аудиту защищенности или привлекать лучше всего внешних аудиторов? Тут стоит вопрос. На одних весах у нас находится утечка данных через аудиторов, а на других весах находится у нас беспристрастность к аудиту проверяемой системы. На твой взгляд?

НИКИТА РЕМЕЗОВ: На мой взгляд, я бы разделил следующим образом: технический аудит уровня инфраструктуры, я думаю, что большинство могут провести сами. То есть, проверить стандартные уязвимости серверов, сетевого оборудования. Достаточно высокой квалификации не нужно. Нужно уметь запускать сканеры безопасности и правильно интерпретировать их результаты. А вот, уровень приложений и веб-приложений в частности, особенно если это те приложения, которые работают с финансами (классический пример это интернет-банк), то если нет своего выделенного безопасника-хакера, который разбирается в безопасности «веба», то здесь лучше искать экспертизу на стороне.

АРКАДИЙ ПРОКУДИН: То есть, речь идет только об узконаправленной экспертизе?

НИКИТА РЕМЕЗОВ: Да.

АРКАДИЙ ПРОКУДИН: Евгения, свой опыт.

ЕВГЕНИЯ ПОЦЕЛУЕВСКАЯ: Да, я соглашусь с Никитой, что здесь ключевой момент, если свои эксперты в какой-то определенной области, которые хотят проверить… история из жизни небольшая. Один клиент. Шли с ним разговоры на тему проведения АСУ ТП в течении нескольких месяцев. Зарубежная компания. Аудит, в том числе, естественно, с техническими проверками, с исследованиями в области поиска новых уязвимостей в системах и так далее. Клиент признает, что у него нет такой экспертизы и что ему действительно эта тема актуальна и интересна. Но тут как-бы и хочется и колется. Говорит, что вот мы нанимали одну зарубежную крутую компанию, из такой-то страны у нас там данные утекли – мы этого боимся, мы их выгнали. Другую компанию известную наняли, тоже они там что-то не так сделали. В общем, они теперь переживают и говорят: «Теперь, значит, будете приходить и все делать только с наших ноутбуков, которые будут запираться в сейф прямо здесь же! Отчет тоже, пишется, прям здесь же».

АРКАДИЙ ПРОКУДИН: Прямо по первой форме работаем. Выезд заграницу через 15 лет :)

ЕВГЕНИЯ ПОЦЕЛУЕВСКАЯ: Все очень серьезно – да! Естественно, в случае если реализовывать все их требования, то это заняло бы огромное количество времени. Пришлось бы безвылазно сидеть в дорогостоящей командировке, за которую платить пришлось бы клиенту, притом, что эффективность ниже. Потому, что надо еще все необходимые средства устанавливать на их ноутбуки, все не перетащишь как раз таки. Всё те же дорогостоящие лицензии, как правило надо тогда дополнительно их закупать (если что…).

АРКАДИЙ ПРОКУДИН: Они привязываются зачастую.

ЕВГЕНИЯ ПОЦЕЛУЕВСКАЯ: Да, они привязываются. Сложностей много, а выход не очень понятен, потому, что здесь вопрос в доверии. Если ты изначально не доверяешь компании, которую приглашаешь, то в принципе люди могут эту информацию (о том, как взломать твою систему) вынести и в голове. Это особенности нашей отрасли. В итоге поговорили с ними про доверие, рассказали про то, как мы защищаем информацию в случаях, как мы обычно работаем. Описали, какие могут быть риски, как мы со своей стороны защищаем данные и сейчас выходим на контракт. В принципе все нормально, они вроде бы успокоились.

АРКАДИЙ ПРОКУДИН: Самое главное успокоить клиента.

ЕВГЕНИЯ ПОЦЕЛУЕВСКАЯ: Да.

АРКАДИЙ ПРОКУДИН: Антон, был опыт доделывания аудита? Когда ты приходишь, заказчик уже начал что-то делать и столкнулся с какими-то трудностями, он чертыхается и все-таки пригласил грамотных людей, чтобы они сделали все по-нормальному.

АНТОН САПОЖНИКОВ: Я такого (непосредственного) опыта сейчас не припомню, честно говоря. Обычно, про не удачные pentest’ы и аудиты не любят рассказывать. Действительно, вопрос о взаимоотношениях, в неудавшемся проекте, между людьми и каких-то несбывшихся ожиданий, наверное, скажем так. Нужно договариваться на берегу сразу и обо всем (стараться).

АРКАДИЙ ПРОКУДИН: Никита

НИКИТА РЕМЕЗОВ: Да.

АРКАДИЙ ПРОКУДИН: Скажи, по твоему опыту, сколько нужно в команде сотрудников и что они должны уметь делать для того, чтобы провести самостоятельный аудит. Вот, если компания, например, захотела сама провести аудит. «Не хочу платить деньги никому! Своим ребятам отдам! (в качестве зарплаты)».

НИКИТА РЕМЕЗОВ: Давай, мы все же, отчертим предметную область немножко.

АРКАДИЙ ПРОКУДИН: Давай! – в банке :)

НИКИТА РЕМЕЗОВ: Я бы еще, конечно, отчертил. Потому, что аудиты же бывают очень разные.

АРКАДИЙ ПРОКУДИН: На соответствие требованиям PCI. Подготовиться. Пройдем мы или нет?

НИКИТА РЕМЕЗОВ: Хорошо. Тогда, естественно нужно, чтобы был человек, который в PCI DSS хорошо разбирается.

АРКАДИЙ ПРОКУДИН: Нужна ли ему бумажка или просто он может почитать что-нибудь в книжке? Что такое QSA или еще кто-нибудь…

НИКИТА РЕМЕЗОВ: Бумажка здесь не является чем-нибудь обязательным. Как я вижу из практики, из того, что я наблюдаю. Если человек не был аудитором, его этому специально не обучали, у него не было именно опыта проводить аудиты, то провести качественно внутренний аудит с первого раза он просто не сможет. Потому что, например, в случае PCI DSS – где-то он будет интерпретировать требования в понятную для него сторону, где-то он будет путать случаи, когда нужно проверить бумаги, а когда нужно проверить настройки системы. Скорей всего, то что он оценит, будет не верно выбрано с точки зрения области (на английском слово Scope). Поэтому, если хочется делать что-то внутри, именно похожее на аудит, то нужны люди у кого есть этот опыт уже.

АРКАДИЙ ПРОКУДИН: Кто конкретно и сколько человек?

НИКИТА РЕМЕЗОВ: Да в принципе одного будет достаточно. То есть, это человек должен быть которого где-то когда-то обучили аудитам, причем не важно каким. Второе, крайне желательно, чтобы у него был опыт в той области, в которой он будет «аудировать». Если это PCI, то крайне желательно, чтобы он знал, что такое карточки, чем пин-код отличается от CVV или PAN от PVV.

АРКАДИЙ ПРОКУДИН: Антон.

АНТОН САПОЖНИКОВ: Да.

АРКАДИЙ ПРОКУДИН: Что можешь добавить к команде самостоятельного аудита у заказчика?

АНТОН САПОЖНИКОВ: Прежде всего, действительно, это опыт проведения аналогичной активности. Это позволит иметь более объективный взгляд на ситуацию.

АРКАДИЙ ПРОКУДИН: Имеет смысл, вкладываться в таких людей компании для того, чтобы они регулярно делали аудит? Это же будут дорогие люди скорей всего.

АНТОН САПОЖНИКОВ: Ну как минимум, если в первый раз, то я бы позвал кого-нибудь со стороны, для этого дела. И того человека, которого мы планируем в последствии назначить у себя ответственным за тот или иной стандарт, чтобы он ходил за ними по пятам.

АРКАДИЙ ПРОКУДИН: И подслушивал, что они говорят.

АНТОН САПОЖНИКОВ: И подслушивал, что они говорят. Как они трактуют те или иные моменты. Очень важный момент, что этот человек должен не просто в какой-то определенный момент времени знать какой стандарт или какие требования существуют, что к ним предъявляется. А еще очень важно, чтобы в данной теме варился и знал, что изменяется и куда течет, те или иные требования. Очень часто, если человек не занимается этим регулярно, он может потерять просто нововведения, новые веяния и так далее.

АРКАДИЙ ПРОКУДИН: А как часто нужно делать аудит?

АНТОН САПОЖНИКОВ: Это зависит от требований. Если мы возьмем PCI DSS – pentest раз в год или после серьезных изменений в инфраструктуре, плюс четыре раза в год сканирование. В принципе я согласен с этими требованиями, но зависит от тех реалий, в которых вы живете. Есть, например, стандарты по аудиту ISSAI или SAE, там предлагают делать раз в пол года аудит. Либо другие, то в этом случае полный аудит, если я не ошибаюсь, раз в три года и надзорный аудит раз в год, в котором проверяется не весь Scope стандарта, а какие-то только его части либо недочеты выявленные ранее. Нужно «плясать» от требований того на что мы смотрим.

АРКАДИЙ ПРОКУДИН: Никита, скажи, в банке как часто аудит делаете, или вы отталкиваетесь тоже только от PCI?

НИКИТА РЕМЕЗОВ: К нам раз в год приходят коллеги из 4-ки.

АРКАДИЙ ПРОКУДИН: Непосредственно сам Антон? :)

НИКИТА РЕМЕЗОВ: В этот момент мы все ходим в галстуках. Соблюдаем все необходимые обряды :) Нас проверяют. Так же у нас есть внутренние аудиторы, в том числе и IT-аудиторы. С ними мы уже общаемся без галстуков. Приблизительно по одной проверке в квартал. У ребят есть план. Проверяют самые разные области, все, что касается IT и в том числе информационную безопасность. Любимые у всех темы, это управление доступом, так же любят в BackUp посмотреть.

АРКАДИЙ ПРОКУДИН: А по твоему опыту имеет смысл выращивать у себя человека-аудитора?     

НИКИТА РЕМЕЗОВ: Внутри организации или внутри команды по информационной безопасности?

АРКАДИЙ ПРОКУДИН: Внутри организации для начала.

НИКИТА РЕМЕЗОВ: Я считаю, что для любой организации от трех тысяч человек ну и у которой есть IT-системы, IT аудитор это уже обязательная вещь.

АРКАДИЙ ПРОКУДИН: А до трех тысяч человек можно просто периодически нанимать/приглашать?

НИКИТА РЕМЕЗОВ: Да может, можно и не проверять даже. Это зависит от бизнеса уже. Если у вас, например, ферма и у вас…

АРКАДИЙ ПРОКУДИН: И у вас непрерывное производство молока…

НИКИТА РЕМЕЗОВ: Да, у вас пять компьютеров: один – бухгалтерия, один – директора, и – три компьютера, на которых построена ваша АСУ ТП или еще что-то. У вас, естественно, еще пока нет планов ходить на Нью-Йоркскую биржу, то я думаю, что еще рановато для IT аудитора и для внешних аудитов.

АРКАДИЙ ПРОКУДИН: У кого был опыт убеждения руководства в организации в том, что на аудит необходимо выделить деньги? Были проблемы с пониманием руководства в том, что аудит защищенности проводить нужно?

АНТОН САПОЖНИКОВ: Руководство смотрит в закон, на требования бизнеса. Если мы говорим о карточном бизнесе, то PCI DSS для них как закон. В этом случае они легко соглашаются, относительно, конечно.

АРКАДИЙ ПРОКУДИН: Но это банки. С банками в этом плане попроще и в финансовых организациях попроще. А вот какие-нибудь заводы? Пароходы?

АНТОН САПОЖНИКОВ: Тут уже смотрят. Очень часто люди видят, что у них и так бизнес работал последние 10 лет.

АРКАДИЙ ПРОКУДИН: И ничего не происходило.

АНТОН САПОЖНИКОВ: И ничего не происходило, да. Так что, уже нужна инициатива какая-то другая. В принципе, если мы рассматриваем идеальную организацию, то в руководстве компании должен быть «спонсор информационной безопасности». Это не безопасник.

АРКАДИЙ ПРОКУДИН: ISACA пишет, что это должен быть CFO.

АНТОН САПОЖНИКОВ: Как вариант.

АРКАДИЙ ПРОКУДИН: Финансовый директор, который выделяет деньги.

АНТОН САПОЖНИКОВ: Как вариант. Ну, это не принципиально. Главное, чтоб человек, который имеет доступ к «телам» всех Небожителей.

АРКАДИЙ ПРОКУДИН: К карманам.

АНТОН САПОЖНИКОВ: И карманов в том числе, да. В этом случае намного проще что-то, как-то объяснить. Если же речь идет о более низких стадиях развития компании, то тут уже разные методы. Либо, случаи из жизни, когда кто-то у кого-то что-то зашифровал/украл/сломал/уронил, тогда начинают люди уже беспокоиться и что-то делать.

АРКАДИЙ ПРОКУДИН: Ну как же, можно, шантаж. Можно прийти к руководству и сказать: «Проводите аудит, или я вам сейчас атаку на вас организую, и вы сами увидите, что все рухнет!» Был ли у вас такой опыт, Евгения? :)

ЕВГЕНИЯ ПОЦЕЛУЕВСКАЯ: Нет. На самом деле, действительно, часто драйвером становятся, по нашей информации, когда, если люди сами изначально не пришли к необходимости анализа защищенности, часто они начинают заказывать такие работы после того как встречаются с какими-то инцидентами. Либо лично, либо какие-то инциденты в их отрасли становятся известны СМИ и они, действительно, начинают переживать, что у нас может случиться то же самое. Так, чтобы мы сами своих работников запугивали – нет.

АНТОН САПОЖНИКОВ: Есть еще один вариант, случаи, в которых безопасник, например, хочет показать свою работу/значимость. Либо он, например, только что пришел в компанию и ему нужно либо понять текущую ситуацию, либо наоборот, чтобы другая независимая сторона нарисовала текущую ситуацию. И он с этим отчетом, с этими результатами пошел к вышестоящему руководству, чтобы подчеркнуть свою значимость. Как этим воспользоваться? Тут уже дело рук самого безопасника. То как он может внутри своей компании, с точки зрения уже политики это все провернуть. Скорей уже аудитор тут не сможет ему ничем помочь, кроме как исправить какие-то буквы в отчете, переформулировать так, чтобы это было понятно руководству.

АРКАДИЙ ПРОКУДИН: Понятно. С политическими играми очень часто… В частности Юра рассказывал, что он сталкивался с саботажем со стороны сотрудников.

ЮРИЙ НАУМКИН: Да. Здесь саботаж какой, саботаж в плане не предоставления информации для аудиторов, отказ в приеме, в совещаниях и так далее и тому подобное. Здесь, на самом деле, решение со стороны аудиторов достаточно простое. Это необходимо еще предусмотреть на этапе согласования договоров и методик. Предусмотреть такое, что мы работаем с той информацией, которую мы предоставили. Важно потом просто показать доказательства того, что такая-то, и такая-то информация не была предоставлена вот по таким-то и таким-то причинам.

АРКАДИЙ ПРОКУДИН: А может быть стоит в этот момент настучать по выше.

ЮРИЙ НАУМКИН: На самом деле здесь кому стучать? Аркадий, раз уж ты обратился к ISACA, в общем-то, у меня тоже есть определенные на это разъяснения.

АРКАДИЙ ПРОКУДИН: Лесенка определенна перестукиваний.

ЮРИЙ НАУМКИН: Как правило, первое «стучание» идет внутри той команды, которая проводит аудит. Доводится все это дело до уровня, наверное, какого-нибудь PM-а, который потом принимает решение и руководитель группы аудита или же сам этот PM, идет к заказчику этих работ (заказчик это то лицо, которое инициировало этот аудит) и там, собственно говоря это решение происходит. Главное, предусмотреть все это дело в методике проведения аудита, что такие ситуации могут быть. Чтобы заказчик аудита давал себе отчет, что это возможно и как-то сам пытался решить уже в дальнейшем.

НИКИТА РЕМЕЗОВ: Можно я добавлю еще?

АРКАДИЙ ПРОКУДИН: Да, Никита.

НИКИТА РЕМЕЗОВ: Добавлю, как заказчик. Я на 100% уверен и призываю всех, что эскалировать подобные проблемы нужно. Нужно делать это очень быстро. Потому, что я как заказчик – заплатил денег, обычно не маленьких. И, например, через 1,5 месяца, если мне принесет аудитор некоторую недоделку и скажет: «Ну, вот извините, я вот так вот сделал, мне к сожалению ваш администратор не предоставил всю информацию…». То зол я буду и на аудитора, и на администратора, и на себя. Получается, что за 1,5 месяца и энную сумму денег я узнал о том, что у меня плохой администратор.

АРКАДИЙ ПРОКУДИН: Согласен. Моментальная эскалация, ремня администратору, он все выдал, дальше поехали.

АНТОН САПОЖНИКОВ: Обычно, в самом начале аудита составляется некий план аудита и план встреч, условно назовем это так.

АРКАДИЙ ПРОКУДИН: С графиком.

АНТОН САПОЖНИКОВ: С графиком, да. В, котором обозначается примерный спектр вопросов, которые будут обсуждены с тем или иным лицом. Поэтому эти лица, грубо говоря, как-то предварительно соглашаются, что они нам что-то расскажут. Ну да, что нужно эскалировать как можно быстрее, а не через полтора месяца это абсолютно верно.

АРКАДИЙ ПРОКУДИН: Когда, по вашему опыту, аудитор должен понять, что информацию ему не дают. Вот пришел он к директору по IT, а аудит заказал директор по безопасности и он ненавидит директора по IT. Он говорит: «Приходи завтра». А «завтра» он на совещании, а потом он в командировке.

ЮРИЙ НАУМКИН: Здесь на самом деле тоже ситуация достаточно просто решается. Как правило, при инициировании процесса аудита, всем затронутым сторонам рассылается бумага, которая дает аудиторам права на сбор информации. И как правило, в этой же бумаге указывается срок необходимости предоставления ответов на запросы. Когда уже все переходит в формальную стадию, командой аудиторов может быть сформирован официальный запрос, путем составления какого-нибудь письма и подписи его ответственными лицами, в котором может быть обозначен срок. Если по истечении этого срока информация не была предоставлена, тогда можно считать, что вот она эта точка, которая будет являться триггером для того, чтобы запускать этот процесс «пинания» людей и поиска решений этой проблемы.

АРКАДИЙ ПРОКУДИН: На улице уже зима заканчивается, снег тает, начинается весна. А в весне у нас последний месяц май, а май у нас заканчивается чем? Правильно. Конференцией PHDays. На носу у нас пятая конференция PHDays. Евгения, расскажите, что будет интересного?

ЕВГЕНИЯ ПОЦЕЛУЕВСКАЯ: У нас закончилась недавно первая волна CallForPapers , можно почитать уже и у нас на сайте и где-нибудь на Хабре какие планируются доклады. Например, к нам приедет создатель знаменитого самого страшного поисковика Shodan. Будем много говорить о безопасности АСУ ТП, о безопасности мобильных сетей связи и все актуальные нынче технологические темы в области защиты информации будут подняты. Будет много сюрпризов в области конкурсов, в этом году у нас будет такой, вместо традиционного CTF. Любителей участвовать в конкурсах ждет сюрприз. Будет большая задумка по тому, как мы это все будем реализовывать, пока это секрет. Уже сейчас можно регистрироваться на участие с докладом. Сейчас идет вторая волна CallForPapers , так что еще можно самим представить какое-то исследование, так и просто как участник зарегистрироваться до 2 марта еще действует скидка. После 2 марта последняя, буквально, неделька, потом либо уже за большие деньги, либо выигрывать в каких-то конкурсах, в каких-то активностях и так далее, чтобы получать бесплатные приглашения.

АРКАДИЙ ПРОКУДИН: Да, я помню на второй PHDays, когда была открыта регистрация, билеты закончились за 2,5 минуты.

ЕВГЕНИЯ ПОЦЕЛУЕВСКАЯ: Очень быстро, да.

АРКАДИЙ ПРОКУДИН: Я даже не подозревал, подключился через пол часа, думаю… ну сейчас я зарегистрируюсь, 30 минут уже идет регистрация. Смотрю, там уже и нет мест. Все, регистрация закончилась. Я потом звонил организаторам, говорю: «У вас сайт не работает почему-то». Они говорят: «Все, билеты закончились». Как закончились? 30 минут назад началась регистрация только. Все, уже нет мест. :)

ЕВГЕНИЯ ПОЦЕЛУЕВСКАЯ: Да, здесь мы не отстаем от конференций вроде CCC, знаменитых хакерских конференций, где тоже очень быстро заканчиваются билеты. Постараемся. В этом году, у нас уже большой зал, там проходил в позапрошлом году Positive Hack Days.

АРКАДИЙ ПРОКУДИН: Digital October был?

ЕВГЕНИЯ ПОЦЕЛУЕВСКАЯ: Нет, в прошлом году был Digital October, а это ЦМТ, соответственно там поместится свободно много народу. Так что надеемся, что на этот раз билеты не так быстро закончатся.

АРКАДИЙ ПРОКУДИН: Пустите ли коммерческие доклады на сцену? Самый главный вопрос. :)

ЕВГЕНИЯ ПОЦЕЛУЕВСКАЯ: Ну вообще, обычно такого не планируется.

АРКАДИЙ ПРОКУДИН: Спасибо большое. Мне очень понравилась конференция ZeroNights, поэтому я так много расспрашиваю. Последний ZeroNights был просто обалденный тем, что там не было ни одного коммерческого доклада. Ни одного в течение всех дней пока шла конференция, только настоящий «хардкор». Никита!

НИКИТА РЕМЕЗОВ: Ты о чем-то спросить хочешь?

АРКАДИЙ ПРОКУДИН: Я не хочу спросить, я хочу, чтобы ты поведал людям, миру – опыт свой по проведению аудита защищенности информационных систем. У меня вопросы кончились.

НИКИТА РЕМЕЗОВ: Интересней всего проверять различные производства. Мне посчастливилось проверять электростанции. Причем еще в тот момент, когда безопасность АСУ ТП, SCADA Security - не были заезженными терминами. То есть мы ничего в этом еще не понимали. Ходили в касках и чумазые инженеры показывали, как на «98 винде» работают турбины и о том, что проблемы безопасности это очень важно. Но им бы роутер один купить, потому, что этому уже 10 лет, а запасного им руководство не дает. Что и было отмечено, что необходимо выстроить резервные решения – выделить на это 300 долларов.

АРКАДИЙ ПРОКУДИН: Это рекомендации от ведущего аналитика, да?

НИКИТА РЕМЕЗОВ: Да-да-да! Так что всем, у кого есть возможность делать аудиты езжайте на производство и нашу Родину увидите и интересно.

АРКАДИЙ ПРОКУДИН: Бескрайнюю.

АНТОН САПОЖНИКОВ: Я бы еще хотел добавить к форматам аудитов. Мы немного не коснулись – очень интересная тема это выводы по результатам. Просто написать рекомендации, это на самом деле не очень полезно. Приведу пример, несколько итераций уровней развития. Провели сканирование, провели pentest, нашли уязвимости. Написали, что вот, чтобы вам устранить данную уязвимость нужно поставить сложный пароль, установить патч, переконфигурировать так-то, в общем какие-то технические действия предпринять это один уровень. Более высокий уровень, когда весь этот отчет еще содержит некий «business summary» для руководства, о том какова ситуация в данный момент. Самый высокий уровень, на мой взгляд, либо может быть еще конечно выше, это каждая рекомендация под собой подразумевает со стороны аудитора понимание того, почему произошла эта проблема. Если мы говорим про примеры, которые я привел, установить патч, то нужно понять, что патч неустановлен не потому что его нет или забыли, а что в компании не налажен процесс, который позволяет эти патчи устанавливать регулярно.

АРКАДИЙ ПРОКУДИН: Патч-менеджмент.

АНТОН САПОЖНИКОВ: Патч-менеджмент, да. Если мы просто выполним рекомендации установить патч, то через год там будет точно такая же проблема. Нужно анализировать корень проблем, из-за которых возникла данная ситуация, а не просто копировать из какой-то базы данных по устранению уязвимостей как их лучше всего устранять.

АРКАДИЙ ПРОКУДИН: А в каких требованиях у регуляторов это требуется – выявление корня проблемы? Обычно нужно просто удовлетворить требованиям на сегодняшний момент.

АНТОН САПОЖНИКОВ: Да, но я говорю в данном случае не про бумажный отчет.

АРКАДИЙ ПРОКУДИН: То есть это настоящая безопасность?

АНТОН САПОЖНИКОВ: Да, скорей так. Если мы хотим получить в результате что-то, что это будет работать не только на бумаге и для регулятора, то нужно скорей делать так.

АРКАДИЙ ПРОКУДИН: Кратко по итогу: можно заказать аудит и к вам приедут умные грамотные люди с опытом и инструментами. Проведут. Напишут отчет. Выдадут рекомендации и укажут на корень проблемы. А можно его сделать самому. Если вы заранее вырастили человека, положили ему в голову знания, дали в руки инструменты, а так же методику. Все зависит от ваших целей и бюджета, но, что даст гарантированный результат – решать каждому из вас. Спасибо коллеги, спасибо нашим слушателям спасибо и нашим гостям. Это был подкаст "Открытая безопасность". До новых встреч!

 

 

Копирайт бай Прокудин Аркадий (С) 2013