こんにちは。Minutkadeanona、私の名前はAnatoly Makovetskiyです。Exnessのセキュリティチームリーダーです。
技術的な記事を期待している人にはすぐに謝罪します。ここにはありません。また、一見わかりやすいので事実ではないことも書かれていますが、どうやって雇われたのか、いつ安全なふりをやめるのかを合理的に聞いてください(カットの下の写真で答えてください)。
彼らが運転しました。
画像:電報チャンネル情報セキュリティミーム(https://t.me/infosecmemes)
私の過去数年間の職業はテクノロジー企業で形作られ、情報セキュリティのスペシャリストとして、私は...情報(キャップ)を保護しましたが、私たちの業界では通例であるように、システム保護がうまく混合されている場合がありますが、実際には大きな違いはなく、含まれている情報の種類、これらのシステムがビジネスにとってどれほど重要であるか、現在より重要なものがあるか、その他の規則があることを理解してください。
同意します。厳格な管理、適切に構築されたプロセス、明確な優先順位、その他の幸福がなく、システムからシステムへとジャンプし、他の誰かの新鮮な研究やあなた自身の経験に基づいて表面または少し深いところに美しいバグを見つけ、それらの印象的な使用方法を示しているので、とてもクールです。これにより、他のITチームとの対話を構築し、ある程度の信頼を得ることができます。どこかで私は間違った場所に運ばれました...
はい、そうです、本当の情報セキュリティはプロセス、ISO、27kに基づいており、ITとトップマネジメントの頭脳を奪いに行きました、私たちはすべてを伝え、すべてを説明し、正当化し、示します、誰も主張しません、必要ですが、次の規格の導入により、現場でのプロセスは良くなるのでしょうか。
実際、メッセージは、セキュリティの「パッチ」ではなく、価値のあるビジネス資産の包括的でバランスの取れた保護に、根本的なアイデアに移行する必要があるということです。そうしないと、次のようになります。
写真:s.66.ru
あなたは私です両サイドのこのような極端な例については申し訳ありませんが、これは要点を説明できないことを理解していますが、私自身の経験では、上記のように極端なものから別の極端なものへと運ばれたので、ここにまともな大人の聴衆がいることを強く願っています、そして私の経験はあなたの背景に対して重要ではありません。私は最悪の症状で最も充実した論文から始めて、ITをスムーズに通過して実用的な領域に移動したので、私はある極端から別の極端に急いで、私の隣にこれらの極端に座っている人々を見ました、だから私はそこに一人ではありませんでした、そして私は一つのことに注意します:
, , , , :
- , ( ), , , , , ;
- , - , , , , .
どちらのアプローチにも、それぞれに十分な注意を払わないと独自のリスクが発生するため、プラス面がありますが、真実はバランスが取れています。そうでない場合、セキュリティのためのセキュリティは、真空中の非常に球形の馬の近くで得られます。ここで、もう1つの明白な証拠があります。
- 情報セキュリティ担当者は、多くの場合、実際の優先順位を設定せずに、すべてとすべての人を保護する必要性に溺れています。また、誰かが構築されたプロセスまたは未完了のプロセスに違反した場合に
、眉をひそめている誰かを公にリンチして自分自身を証明する機会を喜んでいます。 - 実用的なセキュリティガードは、環境全体を危険にさらす可能性があるため、どこでも脆弱性を回避することに重点を置くことがよくありますが、優先順位のギャップもあり、感度は高いが脆弱性が低いシステムよりも脆弱なシステムを優先します。
注意: *
, , , .
多くの場合、私たちは他の誰かの経験、どこかで読んだ他の誰かの優先順位に依存します。これは常に正しくなく不適切であるとは限りませんが、クイックスタートカテゴリから特定の条件に十分に最適ではないことがよくありますが、それでも、次の場合に正当化されることがあります。タンブルウィードとカイトが周りを回っていて、明らかに何もないよりはましですが、その間、ビジネスはそれ自体で生きています。
ちなみに、ビジネスとセキュリティの対話はどうですか?私の深い意見では、私たち(警備員)は、彼が理解していないこと、本当に必要としないこと、彼に当てはまらないことをビジネスに売り込もうとすることがよくあります。あるいは、何も売ろうとさえしません。つまり、セキュリティの代表としての私たちの議論は、ビジネスが非常に遠く離れている可能性がある私たち自身の業界のアイデアと基盤に基づいており、明確な言葉で合理的に動機付けする必要があります。そうすれば、効果はより予測可能で長期的であり、ビジネスの関与はより高くなります。最終的には、いくらそれを逆にしたいかに関係なく、予算のためにビジネスに行く必要があります:)
なぜ企業は私たちを必要としているのですか?ショーにはセキュリティが必要な場合があります。そのような場合は残して、その必要性を理解してセキュリティが発生した場合について話しましょう。適切なビジネスは、潜在的なリスクを事前
まず第一に、あなたは会社がこの方法でどのようにお金を稼ぐか、それが何をするか、そしてそれが何を目指しているかを理解する必要があります。卵を産み、親切な人の食卓に食べ物として置かれる鶏を飼育している企業の場合は、鶏とその卵、周囲のプロセス、および食卓への配送方法を保護しましょう。ビジネスがビッグデータに従事している場合は、この非常に大きな日付、コンピューター、生データ、アルゴリズム、およびそれに関連するすべてのものを保護しましょう。
ですから、残念ながら、実際には店内の同僚のごく一部だけが、ビジネスと矛盾するアプローチの効率の悪さを認識し、その後のビジネスの優先順位に関する作業モデルの実装に到達します。そして、何が本当の脅威を特定することを可能にしますか?そうです、それらをモデル化します。
少し離れて、私が見ている脅威モデリングプロセス全体を想像してみましょう。
- 私たちは会社の貴重な資産を定義し、貴重な資産とは、経験によれば、その資産の違反が最終的に損失につながるものであり、商業会社について話している場合、最終的には直接的または間接的に財務に帰着します。ここでは、原則として、この情報またはその情報を取得します。これらの情報は、私たち自身の利益のために、または規制上の理由で保護する必要があります。金鉱で働く機会がなかったので、そもそも情報がないのかもしれません。
- どういうわけか優先順位を付けるために、これらの最も価値のある資産をランク付けします。
- , , , , , ( , - , , , , ).
- .
- , , , , , , .
- .
- , **, .
: **
. , , .., , , , , , , , , .
ですから、以前は経験から、保護された資産に関する情報を常に持っていたので、これで保護を構築できましたが、Exnessに来て、地域の特性を考慮したモデルを作成し始めたとき、何かが欠けている、何かが欠けているという感覚を手放すことができませんでしたそれから重要なことはそれが私に夜明けするまでスキップされます(はい、私を笑ってください、この投稿を書いているセキュリティ詐欺師、そして何が起こっているのか明白です):
「フィンテックにはお金があります。」
どんな会社にもお金があります。遅かれ早かれ、どの企業も従業員に給与を支払い、事務所を借り、ある種の経済活動を行い、会計部門に仕事を提供しますが、それは銀行口座を持っているか、ウェブサイトと統合された支払いシステムに加えて、しかし、fintechには実際のお金があり、外部ユーザーがそれを操作し、それを使用した操作の大部分は自動化されています。おっと ...
ここで、ビジネス関連のその他の保護された情報に加えて、インターネットバンキングからのクレジットやキーなど、誰もが持っている情報やお金について、少なくとも実際のクライアントのお金があると想像してみましょう。システム内のアカウントに。つまり、実際には、システム内ではこれは周りのすべてのものと同じ情報ですが、実際には情報に変換されてシステムの境界に戻るのはお金ですが、それらを通常の情報として扱うべきではありません。
以下の画像は、当社の製品の1つの情報フローの図です:)
画像:「DuckTales」シリーズWalt Disney Television Animation
また、情報のみを保護するというパラダイムから脱却することで、以前は無視していた別の種類の貴重なリソースを理解することが可能になりましたが、それはかなり曖昧ですが、すべての人に存在します-顧客/トラフィックプロバイダーとのパートナーシップ、または通信/セキュリティ/インフラストラクチャサービスプロバイダーと。もちろん、私がいつも暗黙のうちにこれを検討する前に、しかし、ビジネス継続性計画と災害復旧計画のカテゴリーから、空白の脅威の実装の文脈で、そしてここでそれは意識を識別して保護する価値のある完全に意識的な資産に変えました、それは私たちの範囲を拡大します、この点に関して、既知の脅威からだけでなく、未知の脅威にさらされる可能性のあるオブジェクトからのように、資産自体からもどのように動き始めるか。
よく見ると、あらゆる側面からお金を見ることができます。
- 少なくとも、他の会社と同じ経済活動があります。
- 金融取引とその実施のスピードに関連する製品があり、資金の出入りの本当の論理が含まれています。つまり、お金を遠くの金庫に移すことはできず、「弓」を使った特別な式典の後に1日1回しか見ることができません。そして「脱衣」を完了します。それらはシステムで駆動される必要があり、多くの場合、高速であるほどビジネスに適しています。
- さまざまな支払いシステムやその他のツールが多数あり、それぞれに相互作用、制限、統合機能が独自に実装されています。
- 製品が動作するインフラストラクチャがあります。
- , ; , ; , ; , - .
- , .
その結果、資産、システム、ユーザー、従業員、パートナー、プロセスのジョイントが膨大な数になり、原則として、ジョイントで主な脅威を受け取り、追加のジョイントが新しい脅威を作成します。
つまり、根本には、情報セキュリティ担当者に馴染みのある情報やデータだけでなく、お金のような別の種類の資産もあります。このような規模の「災害」を考えると、私たち全員に馴染みのある情報やデータだけに移行することは非常に困難です。身近な種類の情報に対する脅威の実装は必ずしも損害につながるとは限りません。お金の場合、特に脅威の性質からのみ増加する可能性のあるかなり速い通過について話している場合、各トランザクションには最小限の既知の明確な価値があります。
つまり、インターネットバンキングまたはクリプトウォレットの場合、それらにアクセスするためのクレジット/シークレット/キーがあります(「シークレット」という単語で要約されています)。秘密は情報ですが、それらを扱うためのプロセス、手順、および儀式もあり、それらを扱うための比較的潜在的に狭い人々の輪があります。ここでも、情報保護の概念は破られませんが、支払いロジックを直接または間接的にすべてに渡す段階に移り、さまざまな製品やシステムにお金を「塗り付ける」段階に進むと、状況ははるかにトリッキーになります:)
結局、私たちが望むべき唯一のことは、ビジネスとのつながりとそれをよく理解することです。これは、特定の内部専門知識に変換され、継続的にポンプで送り、すぐに実際の脅威モデルに移行する必要があります。破裂や無計画を防ぎ、その結果、すべての作業で無意味になるのを防ぐために、システムの機能を課す必要があります。
このような短い考えについては多くの言葉がありますが、情報セキュリティ業界の私たち全員に、私たちが何をどのように行うかについてもう一度考えてもらいたいと思います。そのような機会が与えられた場合は、すべてを正しく行い、すべての段階でお互いに調整され、そのような機会が与えられない場合、それが価値がある場合、それのために戦うために、そうでなければ、攻撃者は通常、私たちとは異なり、彼らの目標をよく知っており、彼らに従うので、私たちは常に攻撃者の後ろに数歩遅れます。
この資料が完全に失敗しない場合は、次のようなトピックの主なアプローチ、「ツール」、および主観的なビジョンをより詳細に、実際に向けて明らかにしようとします。
- 脅威モデリングのトピックに関する私の「自転車」(私のものがなくても十分な自転車があるので、それに対する需要がある場合)。
- (ではない)信頼と安全;
- バグバウンティ、それをどのように行うか、そして何を目指しているか。
- インタビュアーとしての長い経験を経て、ロシア語を話す情報セキュリティ専門家の市場の特殊性についての意見。
- 何がセキュリティを推進する必要があります。
資料が入った場合-追加、失敗した場合-コメントに溺れます。ポジティブであろうとなかろうと、建設的なフィードバックには常に満足しています。
すべての優しさとバランスの取れたプロのアプローチ!