-
Notifications
You must be signed in to change notification settings - Fork 0
/
facts.txt
153 lines (153 loc) · 64.2 KB
/
facts.txt
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
Регулярно обновляйте не только операционные системы своих ПК, но и приложения на них, а также плагины и расширения к ним.||
Обновляя операционные системы компьютеров, не забывайте про обновление операционных систем сетевого оборудования, а также иных устройств, подключенных к инфраструктуре.||
Предупредите сотрудников, чтобы они не подбирали флешки, валяющиеся у входа в офис или у близлежащих кафе и ресторанов, где сотрудники часто обедают.||
Включите в своем календаре напоминание об истечении срока действия сертификата на все ваши домены и поддомены.||
Отмените смену паролей раз в Х дней. Лучше внедрить MFA||
Коммуницируя советы по ИБ наружу, убедитесь, что вы сами им следуете||
Прежде чем принимать плейбук или регламент, пройдите по нему и проверьте, что он работает и в нем нет узких мест||
Вы знаете, что делать, если ваш администратор, единственный знающий пароль к той или иной системе, вдруг “пропал” (заболел, эмигрировал, мобилизовался…)?||
Проведите штабные киберучения с руководителями основных подразделений компани, чтобы понять, насколько они знают, что делать в случае возникновения инцидента или кризиса ИБ?||
ФЗ-152 состоит из 25 статей и только одна из них целиком посвящена вопросам ИБ. Не взваливайте на себя груз по реализацию всех остальных статей, не имеющих отношения к кибербезопасности||
Погружаясь в пучину многочисленных законодательных требований, сначала убедитесь, что за их невыполнение предусмотрена ответственность||
Задумываясь об ответственности за невыполнение законодательных требований по ИБ, попросите ваших юристов подготовить вам справку о правоприменении, чтобы понять, наказывали ли когда-нибудь кого-нибудь за эти нарушения?||
Помните, что зарплату вам платит ваш работодатель, а не регулятор||
Не надо рвать жопу и бездумно выполнять все требования регуляторов по ИБ; они могут мешать развиваться вашей компании||
Стоимость средств защиты информации не должна быть больше стоимости защищаемой информации (если вы можете посчитать последнюю)||
Когда мера или метрика становится целью, она перестает быть хорошей мерой или метрикой (закон Гудхарта)||
Дружите с PR-службой - часто они единственные, кто может ваши факапы превратить в победы или хотя бы снизить негативный эффект от инцидентов ИБ||
Безопасность всей системы равна безопасности самого слабого звена. Вы знаете слабые звенья своей организации? Это могут быть пользователи, подрядчики, ИТ-служба, некачественные средства защиты и т.п.||
Медианное время захвата и компрометации контроллера домена Active Directory составляет 16 часов. Если доступ к вашим средствам защиты управляется через AD, то его компрометация приводит к сбою всей системы ИБ. У вас есть план защиты AD или вы рассчитываете, что до него никто не доберется?||
Взлом системы централизованного управления EDR, EPP или антивируса может привести к компрометации всей системы ИБ. У вас есть план защиты средств защиты или вы рассчитываете, что они сами себя защищают?||
Отсутствие бюджета на ИБ - не приговор; есть множество мероприятий, которые можно осуществлять без денег. Например, моделирование угроз или повышение осведомленности персонала.||
Когда у вас нет денег на средство защиты, почему бы вам не попробовать бесплатный пилот этого средства? Так можно продержаться месяцев шесть.||
Отсутствие информации о защищаемых активах - это все равно что русская сказка про “пойти туда, не знаю куда, принеси то, не знаю что”. Выстройте процесс управления активами или договоритесь об этом с ИТ.||
Резервное копирование - это не совсем про ИБ. Но иногда это единственный инструмент, который позволит тебе восстановиться после инцидента ИБ, например, атаки шифровальщика.||
Не хватает бюджета ИБ? Попробуй часть задач и процессов делегировать в другие подразделения. Управление уязвимостями, управление идентификацией, антивирусная защита, межсетевые экраны… вполне могут быть отданы в ИТ. А средства поиска уязвимостей в коде и приложениях (SAST/DAST/IAST/SCA) - в департамент разработки.||
Выстраивая процесс повышения осведомленности персонала в вопросах ИБ, не забудь взять HR в свои помощники и союзники. Часто у них есть для этого не только бюджет, но и знания, как лучше выстроить процесс обучения||
Обучая вопросам ИБ помните, что сегодня в моде не скучные, многочасовые, записанные на плохую видеокамеру лекции, а микро- и нано-тренинги, которые могут длиться от 10 до 2 минут и которые посвящаются всего одной теме. Их можно посмотреть в лифте или в курилке или во время стояния в очереди в столовой||
Кибербезопасность - это процесс, но не стоит забывать и о результате, к которому вы должны стремиться. У вас есть цель/цели, которые вы хотите достичь в ИБ?||
Оценка рисков бывает объективная и субъективная. В первом случае вы будете долго рассчитывать вероятности и ущерб от каждого риска, тратя на это очень много времени. Во втором случае вам придется воспользоваться сторителлингом, чтобы убедить руководство в своей правоте. Возможно концепция недопустимых событий поможет вам найти баланс между двумя подходами.||
Помните, что без мониторинга (в идеале непрерывного) и реагирования все ваши защитные “стены” вокруг защищаемых активов только создают иллюзию защищенности.||
Хакеры не читают нормативку и не знают scope вашего договора на аудит. Они атакуют туда, куда им удобно и дешевле, а не туда, куда направлена модель угроз регуляторов.||
Запуская непрерывную оценку защищенности ваших приложений подумайте о запуске программы BugBounty, которая позволит привлечь большое количество внешних хакеров, которым вы будете платить за результат, а не за потраченное ими время.||
Отказываясь от выплаты обещанного вознаграждения в рамках программы BugBounty, вы не только не получите нужного результата, но и настроите против себя всех легальных (а часто и нелегальных) хакеров. Вам это надо?||
Покупая автомобиль, вы делаете это не глядя, ориентируясь только на рекламу производителя, или все-таки проводите тестдрайв? Почему бы и со средствами защиты вам не поступать также.||
Не верьте вендорам, аудиторам, пентестерам и багхантерам на слово. Их цели могут отличаться от ваших и они сразу же забудут обо всех данных вам устных обещаниях. Фиксируйте все договоренности в договорах и допсоглашениях.||
Не ведитесь на заявления аудиторов, пентестеров и любых внешних компаний, что у них согласованные формы договоров, которые нельзя изменить. Это значит, что вас хотят где-то обмануть.||
Заказывая разработку или покупая ПО у внешней компании, исходите из предположения, что у нее нет выстроенных процессов безопасной разработки, если не доказано обратное.||
Не думайте, что нормативные документы только осложняют жизнь и неприменимы к реальным условиям. Их надо просто уметь читать и окажется, что до 80% всех требований вполне разумны и обоснованны.||
VirusTotal - это инструмент ИБ для проверки детектируемости вредоносного кода. Но такие же инструменты есть и у хакеров, и используются они для проверки недектируемости их вредоносных творений. Помни об этом, когда увидишь отсылки на VirusTotal как мерило качества антивируса.||
Конфиденциальность - не единственное свойство информации, которое требуется обеспечивать специалисту по ИБ. Нередко другие свойства (доступность и целостность) могут оказаться важнее сохранения каких-либо данных в тайне||
Не фокусируйтесь на классической триаде КЦД (CIA), то есть конфиденциальности, целостности и доступности. У информации существует гораздо больше свойств, которые могут потребовать их реализации/обеспечения. Аутентичность, достоверность, неотказуемость и т.д.||
Блокируя один командный C2-сервер для управления вредоносным кодом, не расслабляйтесь, таких серверов может быть и два, и пять, и сто, и больше.||
Доверие - мать провала. Не стоит по умолчанию думать, что средства защиты сами по себе защищены. Известно немало случаев компрометации компании из-за недостатков в средствах защиты. Уточняйте, как они защищаются и какие рекомендации производитель имеет для повышения их защищенности||
ZeroTrust - не красивая маркетинговая уловка, а действительно неплохая концепция, позволяющая выстроить систему защиты, которая не полагается на однажды заданные правила, а все время подвергает их сомнению||
Когда вы ставите внешней компании задачу спроектировать вам систему обнаружения вторжений убедитесь, что они понимают под ней не только IDS/IPS (СОВ/СОА).||
Средства защиты от вредоносного кода, чтобы там не думали регуляторы, это не только антивирусы, но и иные средства, способствующие обнаружению и реагированию на ВПО - МСЭ, IDS/IPS, NDR, EDR и т.п. Настаивайте на этом, общаясь с проверяющими.||
Помните, что у нас в стране каждый регулятор считает себя главным и каждый имеет свою точку зрения на одну и ту же проблему. Например, на вопрос сертификации средств защиты? Или что такое инцидент ИБ? Или что такое “мобильное устройство”. Если вы попадаете под надзор нескольких регуляторов, учитывайте этот момент.||
Выполнив требования одного регулятора, не расслабляйтесь, проверьте, не распространяются ли на вас требования других регуляторов. Обычно, разные регуляторы имеют собственные нормативные акты по одним и тем же вопросам (персональные данные, биометрия, реагирование на инциденты, оценка защищенности и т.п.).||
Запрет удаленного доступа, использования мобильных устройств для чтения служебной почты и приноса личных устройств в компанию, - это не решение проблемы, а уход от нее. Работники все равно будут это делать, только вы про это не будете знать, создавая слепое пятно в своей системе защиты.||
Теневые ИТ (Shadow IT) - это реальная проблема любой компании. Регулярно изучайте логи SIEM, NGFW, NDR, SWG и других средств мониторинга, чтобы понять, какими сервисами и приложениями пользуются ваши работники, даже если это и прямо запрещено в компании. Помните, что выбирая между удобством и корпоративными правилами, пользователи часто выбирают первое, а не второе.||
Считается, что безопасность создает одни неудобства для пользователей. Это не так и тестирование на эргономику (юзабилити-тестирование) мер защиты является очень важным инструментом, снижающим вероятность обхода защитных механизмов. Например, биометрия или беспарольная аутентификация позволяют решать задачу контроля доступа удобным и при этом безопасным образом; по крайней мере не менее безопасным, чем сложно запоминаемые длинные пароли.||
При выборе пароля главным является его длина, а не наличие в нем спецсимволов или символов в разной раскладке.|| Технологии постоянно меняются - регулярно отслеживайте, насколько легко подбираются пароли разной длины. Помните, что 8 и даже 10 символов - это уже давно вчерашний век.||
Заставляя пользователей выбирать сложные пароли, состоящие из спецсимволов, цифр и букв в разной раскладке, вы требуете от них невозможного, они не смогут выполнить эти требования для всех тех систем, что используют в своей работе. А значит, они будут обходить или нарушать ваши правила выбора паролей. Не усложняйте - есть простые и при этом надежные рекомендации при выборе паролей.||
Получая IOC из внешних источников, определите для них время жизни, чтобы не отслеживать неактуальные уже индикаторы компрометации.||
Подключая к своим средствам защиты источники Threat Intelligence, регулярно оценивайте их релевантность, полноту и актуальность.||
Создавать иллюзию безопасности дешевле, чем заниматься ею по-настоящему. Но только занявшись ею по-настоящему ваша организация сможет почувствовать ее ценность.||
Если вы хорошо занимаетесь ИБ, то ваша работа обычно не видна, так как нет инцидентов ИБ. В этом случае не забывайте регулярно напоминать о себе вашим целевым аудиториям. Внутренний маркетинг на разные целевые аудитории тоже важен!||
Разные топ-менеджеры могут по-разному воспринимать информацию - кто-то визуал, кто-то аудиал, кто-то кинестетик. Учитывайте это, презентуя результаты своей работы начальству.||
Каждый 12-й мужчина страдает дейтеранопией или дальтонизмом красно-зеленого цвета. Учитывайте это, готовя красно-зеленые дашборды, отчеты и презентации об успешных и неуспешных проектах по ИБ, отраженных и неотраженных инцидентах и т.п.||
Это для вас важность ИБ понятна без объяснения; для всех остальных это терра инкогнито. За внимание руководства вы будете бороться с завхозами, закупающими туалетную бумагу, и ИТшниками, закупающими картриджи и бумагу для принтеров. И ИБ точно не более понятна, чем они. Учитесь обосновывать свои потребности&||
Не стоит злоупотреблять техническими мерами защиты. Иногда оргмеры дают лучший эффект и за меньшие деньги.||
Так часто бывает, тратится куча денег на навороченные решения по ИБ, а людей, которые могли бы их эффективно использовать, нет или нет денег на их обучение. Планируя бюджет на средства защиты, не забывайте запланировать адекватные ресурсы, которые их будут использовать||
Всегда имей “план Б” на разные случаи - отзыв сертификата на сайт или средство защиты, уход вендора из страны, переманивание ключевого сотрудника, невосстановившаяся резервная копия и т.п.||
Разрабатывая модель угроз, делайте ее для себя, а не для регулятора (если, конечно, у вас не стоит задача только отчитаться)||
Читая документы регуляторов стоит помнить, что они пишутся не только в определенной политической и геополитической ситуации, но и в рамках полномочий регулятора, за которые ему выходить запрещено||
Новое средство защиты или новая его мажорная версия всегда изобилует немалым количеством ошибок, которые вам придется тестировать на себе. Хотите ли вы такого опыта? Или быть может вы подождете, когда на грабли наступят другие счастливчики?||
Не спеши бежать устранять все найденные уязвимости. Во-первых, многие из них недоступны для хакеров. Во-вторых, не все их них эксплуатируются хакерами. А в-третьих, не все из них настолько критичны, чтобы торопиться. Приоритизируйте уязвимости с помощью того или иного метода (CVSS, EPSS, методика ФСТЭК и т.п.)||
Оценивая актуальность недекларированных возможностей в используемом вами ПО, подумайте о том, насколько вы вообще интересны хакерам, чтобы они пользовались в отношении вас недокументированными возможностями, сиречь закладками? Не проще ли признать их для вас неактуальными (обратите внимание, неактуальными, а не невозможными или несуществующими).||
Помните пирамиду потребностей человека Маслоу? К компаниям применим тот же подход, а значит говорить с компанией на стадии выживания, у которой не хватает денег на выплату зарплаты и налогов, о покупке средств кибербезопасности бессмысленно. Фокусируйтесь на иных темах ИБ.||
ИТ занимается тем, что делает так, чтобы бизнесу было хорошо. ИБ стремиться сделать так, чтобы не было плохо. При всей схожести этих подходов, они все-таки разные. Учись совмещать оба.||
Подружись с ИТ. Без них нормально ИБ обеспечить невозможно.||
Карьера ИБшника не завершается ролью CISO (директора по ИБ). Специалист по ИБ вполне может “подмять” под себя функции управления рисками и обеспечения непрерывности бизнеса. Он также может стать заместителем руководителя организации по ИБ (в случае попадания под 250-й Указ Президента) или даже генеральным директором инсорсинговой компании в холдинге или группе компаний.||
Встроенная ИБ всегда лучше наложенной! Договоритесь с ИТ и включите в функциональные требования при покупке прикладного ПО, ОС, СУБД, сетевого оборудования и т.п. необходимый минимум с точки зрения ИБ.||
Если ты руководитель по ИБ или лидер направления, то имей право на ошибку! Не ошибается тот, кто ничего не делает!||
Не участвуй в спорах, чем отличается информационная безопасность от кибербезопасности и защиты информации. Смысла в этом нет, а времени уходит много.||
Окружающие вас люди - не специалисты по ИБ и они не обязаны знать назубок все ее правила. Они будут ошибаться по-любому. Нельзя их за это наказывать; если, конечно, это не вошло у них в привычку и они не извлекают уроков из сделанных ошибок.||
ИБ не ограничивается только ИБ. Изучайте смежные направления - ИТ, чтобы знать, что вы защищаете, психологию, чтобы знать, почему люди совершают ошибки и преступления, юриспруденцию, чтобы знать, что можно нарушать и что за это будет, физиологию и анатомию, чтобы знать, почему люди нажимают не на те клавиши, PR, чтобы знать, когда и что не надо говорить в публичном поле, маркетинг, чтобы знать, как продвигать ИБ внутри для разных целевых аудиторий, финансы, чтобы уметь разговаривать на одном языке с людьми, выделяющими вам бюджет, и т.п.||
Стартап по ИБ - это всегда интересно и инновационно, но часто цель стартапа - продаться инвесторам, а не задержаться на рынке подолгу. Что ты будешь делать, если купленное тобой средство перестанет развиваться в компании-покупателе, а то и вовсе будет закрыто? Покупай не новое, а проверенное.||
Начиная работать со стартапом по ИБ, поговори с его основателем. Если он все время говорит “я”, то возможно он замыкает все на себе и в случае его болезни или смерти его бизнес исчезнет очень быстро, так как некому будет драйвить его на том же уровне.||
У тебя всегда будет всего много - систем, узлов, пользователей, уязвимостей, приложений (всего, кроме денег и сотрудников). Научись это все классифицировать и приоритизировать.||
Принося счет на средство защиты или услугу ИБ ответь на вопрос: “Зачем это компании?”, а не только “Зачем это мне?”. Перед выделением бюджета тебе зададут именно первый вопрос, а не второй.||
Секретарша топ-менеджера - часто не только может помочь узнать сильные и слабые стороны своего босса, что очень полезно при общении с ним, но она же является и “секретоносителем”, часто более осведомленным даже чем ее босс.||
Не стоит оценивать политику безопасности по количеству ее страниц. Вес - это не то, что определяет ее ценность.||
Если пишешь политику безопасности для своих пользователей, то прежде, чем публиковать, проверь ее на своей маме. Если у нее не будет вопросов, то и пользователей скорее всего тоже||
Заниматься ИБ, не зная, как действует хакер, достаточно странно. Пройди обучение на легального хакера или хотя бы почитать соответствующие книжки и статьи или посмотри видео в Интернете. Так ты начнешь чуть лучше понимать своих противников.||
Без регистрации событий, ты слеп как родившийся котенок. Включи ее хотя бы на ключевых системах в своей организации.||
Доверие - это источник всех проблем в кибербезе. Посмотри в сторону концепции ZeroTrust, в ней есть здравое зерно и не одно||
Разрабатывая стратегию ИБ компании, не забудь соотнести ее со стратегией ИТ и стратегией развития бизнеса. Возможно тебе придется учитывать и движение в сторону облаков и аутсорсинга, и международную экспансию и фокус на OpEx вместо CapEx, что обязательно повлияет на решения в области ИБ.||
В аутсорсинг ИБ важно не только правильно войти, но и правильно выйти. Исходи из худшего сценария развития событий и подумай, что ты будешь делать, если через год не захочешь продлевать контракт с аутсорсером? И что станется с твоими логами и с твоими данными, отданными ему?||
Выбирая средство защиты от угроз (IDS/IPS, NDR, EDR, XDR и т.п.), выясни, можешь ли ты сам пополнять базу знаний угроз купленного решения или ты будешь навсегда привязан к продавцу?||
Если средство защиты не имеет API или внешних интерфейсов для взаимодействия с другими решениями (отправки событий безопасности, доступа к логам, выдачи команд реагирования, получения карточек инцидентов, получения индикаторов компрометации и т.п.), то как вы будете строить целостную систему из несвязываемых между собой компонентов?||
Не полагайся на антивирус. К сожалению, сегодня эти средства создают ложное чувство защищенности, не умея бороться с угрозами, отсутствующими в их базе знаний.||
Помни, что хакер не скован ограничениями как ты. Ему не надо получать лицензию на ТЗКИ, использовать сертифицированные СКЗИ, брать специалистов, прошедших курсы профпереподготовки на 512 часов или имеющих высшее образование по ИБ. Хакеры оптимизируют свою деятельность, отбрасывая все ненужное и неэффективное, и оставляя только то, что позволяет максимизировать их прибыль. ||
Наличие высшего образования по ИБ не говорит об уровне знаний кандидата на вакансию ровным счетом ничего. Оценивай кандидата не по диплому, а по его реальным навыкам.||
Подпишись на телеграм-канал “Пост Лукацкого” - часто это более полезное чтение, чем скучные книжки по “информационной безопасности и защите информации”.||
В средние века многие стены замков часто подкапывали или перелезали через них. Не полагайся на то, что твой периметр защищен лучшим межсетевым экраном; исходи из предположения, что хакер уже проник в твою инфраструктуру (например, через подброшенную флешку или личный ноутбук гендиректора).||
На предотвращение угроз трать не 80%, а треть своих ресурсов. Еще треть на мониторинг и обнаружение угроза, а оставшуюся треть на реагирование.|| Тогда ты сможешь нивелировать последствия пропущенной атаки, а не кусать локти спустя несколько месяцев, когда узнаешь, что система предотвращения не увидела какую-то опасность.||
Строя систему ИБ, исходи из предположения, что все твои действия окажутся неэффективными перед превосходящими силами противника. Тогда тебе останется только восстанавливать систему и данные. У тебя есть резервные копии не только данных, но и конфигов, а также имиджей систем?||
Тебе надо защитить все точки проникновения в организацию, в то время как хакеру достаточно найти всего одну! Если ты не можешь найти и защитить все точки входа, то не забудь хотя бы поставить на мониторинг все ключевые системы, которые могут быть интересны нарушителям.||
Помни, что хакер не всегда ломится в лоб; часто он идет в обход и находит такие способы проникновения, о которых ты не подумал. Это может быть подброшенная на парковке или в столовой флешка, зараженный личный ноутбук гендиректора, присланный финансовому директору “криптокошелек” от “дорогого партнера”, взломанная административная панель хостера или провайдера DNS и даже внедренный вредоносный код в ПО вашего поставщика бухгалтерской программы или средства защиты информации.||
Часто средства защиты делают для выполнения требований регуляторов, а не потребителей. Если у продукта есть сертификат ФСТЭК, это еще не значит, что продукт вообще подойдет для твоих задач.||
Не думай, что сертификат ФСТЭК означает, что средство защиты умеет бороться со всеми актуальными угрозами. При сертификации чаще всего проверяется функциональные требования руководящих документов, а не то, что продукт борется с хакерами||
Если вендор ИБ выставил свой продукт на платформу Bug Bounty и в нем нашли много уязвимостей, то это все равно лучше продукта, который на Bug Bounty не выставлен, но и никаких уязвимостей в нем не найдено. В первом случае вендор заинтересован в обнаружении и устранении уязвимостей в своем продукте; во втором - скорее всего нет.||
Чтобы тебе не говорили ИБ-компании, что они спасают мир, помни, их основная задача - зарабатывать деньги… и только потом, возможно, спасать мир. Многие мир не спасают - просто зарабатывают деньги.||
Держись подальше от людей, уверяющих, что обязательная сертификация и оценка соответствия - это одно и тоже. Форм оценки соответствия существует 7 и обязательная сертификация только одна из них.||
Бывают, что приходящие к вам с проверками надзорные органы не имеют на это никакого права. Изучай права и полномочия ИБ-регуляторов, чтобы они тебя не обманули во время проверки.||
Задача органа контроля/надзора (ФСТЭК, ФСБ, ЦБ, Роскомнадзор) - не помочь тебе найти и устранить нарушения. Их задача найти нарушения и покарать нарушителя. Иногда можно подкинуть им легкие нарушения и устранить их в процессе проверки. Тогда и волки будут сыты и овцы целы.||
Знать, где хранится и обрабатывается защищаемая информация, важно. Не менее важно знать, как она циркулирует по информационным системам внутри предприятия и как (и к кому) выходит за его пределы.||
Если аудитор/консультант работает в компании, которая еще и продает средства защиты, то у него высок соблазн в рекомендациях указать вам именно “свои” средства защиты, а не те, которые лучше подходят для устранения выявленных недостатков или решения стоящих задач.||
Защита информации должна стоить дешевле защищаемой информации. Но умеете ли вы считать стоимость защищаемой информации? Хотя бы ознакомьтесь со стандартами бухучета нематериальных активов - это откроет вам глаза на то, как вообще считать стоимость информации и почему этого никто не делает.||
Если в вашей компании проводятся регулярные практические тренинги по противопожарной защите или оказанию первой помощи, то почему бы вам не проводить практические тренинги на случай наступления катастрофического события ИБ (инцидента или недопустимого события)?||
Изучая аналитику от ИБ-вендора обращайте внимание, не выпускает ли он в это время продукт, который случайным образом подходит под выводы в аналитике? Иногда это, и правда, неслучайно.||
Внедряя средства борьбы с утечками (DLP) помни, что обязательно найдутся руководители, которые будут вставлять палки в колеса этому проекту, опасаясь, что DLP выявит их преступные действия.||
Борьба с утечками - это не только DLP, но и множество других технологий и защитных мер, начиная от мониторинга DNS и анализа открытых извне на периметре портов и баз данных и заканчивая сегментацией сети и внедрением принципу минимума привилегий для сотрудников, работающих с данными. И, конечно, еще и мониторинг ИБ!||
Бумажным безопасником часто называют тех, кто занимается важным, но непонятным технарям делом, - управление персональными данными, методологией ИБ, юридическими вопросами ИБ, анализом рисков, аудитом ИБ, повышение осведомленности персонала, оценкой соответствия требованиям, улучшением процессов и т.п.||
Английский - все еще основной язык в ИБ, так как все модные и эффективные инновации, фреймворки, решения и т.п. рождаются именно в западном мире. Китайский язык может стать перспективным… а может и не стать, а английский точно пригодится в обозримом будущем.||
Помогая сотрудникам в вопросах их личной кибербезопасности, ты не только делаешь более безопасной свою компанию, но и можешь рассчитывать в будущем на помощь от тех, кому ты помог.||
Бюджетируя ИБ, оцени, сколько ресурсов у тебя выделено на развитие системы кибербезопасности? Если меньше 50%, то это плохо. Если меньше 30%, то это просто катастрофа.||
Технические меры ИБ неплохи, но они не могут на 100% компенсировать человеческую глупость. Также они не могут компенсировать отсутствие правовых мер ИБ.||
Внедряя средства ИБ для защит прав своей компании, не забудь, что они могут нарушать права пользователей (например, DLP). Взвесь все риски от любого из своих решений.||
Работая в мультинациональной компании, помни, что в разных регионах и культурах может быть разное не только законодательство по ИБ, но и разное отношение к тем или иным защитным мерам.||
Внедряя токены в качестве хранилища сертификатов криптографических ключей или в качестве второго фактора, обрати внимание, как одевается прекрасная половина человечества вокруг тебя. Есть ли у офисных работниц карманы на одежде, куда можно положить токен? А если нет, то спроси у них, куда они положат токен, уходя на обед или покурить?||
Собственные пентестеры или члены Red Team могут специально не заметить или скрыть уязвимости или вектора атаки, не желая ссориться со своими друзьями и коллегами по ИБ-подразделению. Хакеры лишены таких предрассудков.||
Проводя анализ защищенности своих ИТ-активов, регулярно привлекайте и внешних специалистов, имеющих незамыленный взгляд на вашу организацию и ваши подходы к построению ИТ и ИБ. А еще лучше выставить свои ИТ-активы на платформу Bug Bounty.||
Если ваш межсетевой экран не сигнализирует вам о хакерских атаках, это еще не значит, что хакеры не сидят в вашей инфраструктуре. Используйте средства мониторинга сетевых аномалий (NTA/NDR).||
Шифрованный трафик у вредоносного кода - это не препятствие для эффективных средств защиты, которые умеют анализировать зашифрованные коммуникации без ключей расшифрования. Выбирая решения по анализу трафика уточняйте, есть ли у него такой функционал.||
Шифрование - это не только средство защиты ваших бизнес-коммуникаций. Его могут использовать и хакеры для скрытия своей активности. Как вы будете выявлять и анализировать такой трафик?||
Какие бы средства коммуникаций вы не внедрили в компании, всегда найдутся сотрудники, которых они не устроят и которые будут использовать что-то свое (мессенджеры, почтовые клиенты и т.п.). Вы знаете, как будете определять их и контролировать?||
Прочитав в листовке DLP-вендора, что он может обнаруживать до 98% всех утечек информации, уточните у него, в каких именно каналах коммуникаций. Возможно, он умеет это делать только в почтовом трафике и не может отслеживать коммуникации в мессенджерах или средствах групповой работы.||
Выбирая сканер уязвимостей, уточняйте стек приложений, с которыми сканер умеет работать и где он может выявлять уязвимости. Это особенно важно, если вы работаете в компании с офисами в разных странах мира.||
Пилот отдаляет вас от внедрения ИБ-решения, но и оберегает вас от ошибок. Очень часто на пилотах выявляются ошибки и особенности эксплуатации средства защиты, которые делают его непригодным для вашей инфраструктуры.||
Поэтапно проектируя систему ИБ, не забывайте убедиться, что выбираемые вами решения будут эффективно работать не только на первом этапе, но и на всех последующих. Нередко средства защиты имеют проблемы с масштабированием и то, что работало в масштабах одного города или региона, не работает в масштабах целой страны. Хранение, индексация данных, поиск, иерархия управления, единое время… вот только некоторые вопросы, на которые стоит обратить внимание.||
Изолированные от внешнего мира системы тоже ломают! “Воздушный зазор” (air gap) не является панацеей от компрометации и утечки информации, но может стать непреодолимым для средств мониторинга, которые проектировались без учета такой возможности. Если вам надо мониторить изолированные сегменты (например, АСУ ТП), то заранее подумайте, как вы будете это делать и насколько оперативно вам будет нужна информации с удаленных площадок.||
Обрати внимание на стратегию развития ИБ-компаний, с которыми ты сотрудничаешь. Они развиваются от отдела продаж или от продукта. В первом случае их решения покупают только на личных контактах и в зависимости от активности продавцов; во втором все зависит от качества продукта и может ли он “продавать” себя сам. Старайся выбирать второй тип компаний.||
Собственная безопасность средства защиты зависит не только от встроенных в него механизмов, но и от среды функционирования. Не пренебрегай ее адекватной настройкой.||
Известно немало случаев, когда компрометация всей инфраструктуры становилась возможной после взлома системы централизованного управления антивирусом (а он стоит обычно на всех компьютерах организации) или контроллера домена. Насколько вы готовы к такому сценарию развития событий?||
У хакеров не бывает выходных и они работают в режиме 24/7. Если ваша служба ИБ работает в режиме 8/5, то кто вас защищает в остальные 128 часов в неделю?||
Когда вам говорят, что концепция периметра умерла, не верьте. Во-первых, традиционный периметр просто размылся и теперь его граница проходит через все удаленные устройства и облачные среды. Традиционным поставщикам NGFW сложно защищать такие среды и поэтому они говорят о размытости. А во-вторых, если вы не можете построить внешний периметр, постройте внутренний, вокруг ключевых и целевых систем, которые и интересны хакерам.||
Сегментация - простой, но очень эффективный механизм защиты корпоративной инфраструктуры, замедляющий продвижение хакера и облегчающий его обнаружение. Не пренебрегайте им при проектировании системы кибербезопасности в организации.||
Взламывая средство криптографической защиты информации, алгоритм - это последнее, на что нацелится злоумышленник. Уделяйте должное внимание среде функционирования СКЗИ, а не длине криптографического ключа.||
Обращая внимание при выборе СКЗИ на длину криптографического ключа, помните, что 56, 64, 128 или 256 бит - это признак симметричного шифрования. Существуют также асимметричные криптографические алгоритмы, построенные на совершенно иных принципах и длины ключей там могут быть совершенно иными - и 112 бит и 2048. Длина имеет значение только в совокупности со знанием алгоритма.||
Если ваш генеральный директор поставил себе в кабинет аквариум, то убедитесь, что в нем нет возможности управления и контроля через Интернет. А если она есть, то сделайте так, чтобы аквариум не стал точкой проникновения внутрь организации (такие случаи бывали). Обратите внимание на все Интернет-вещи, которые могут быть в вашей организации (кофемашины, пылесосы, лампочки, СКУДы, видеокамеры, термостаты и т.п.)||
Сдавай сервер или ПК в ремонт, удаляй с него все конфиденциальные данные!||
Вредоносный код может быть внедрен в приобретенные вами ПО и оборудование не только после их покупки, но и до - на этапе разработки (с ведома вендора или через атаки supply chain), на этапе поставки от вендора до дистрибьютора или партнера, на этапе поставки от партнера до вас. Как вы проверяете поступающие к вам ИТ-решения на предмет закладок? Актуальна ли для вас эта угроза?||
Если вы слышите слово “киберстойчивость”, не пугайтесь. Возможно, человек его произнесший не понимает его смысла и просто использует его как синоним “кибербезопасности”.||
Если вы разрешаете пользователям самостоятельно выбирать пароли для доступа к корпоративным системам и служебным устройствам, то скорее всего они будут выбирать пароли, которые они используют (или схожие с ними) на своих личных устройствах и сервисах в Интернет. Их утечка там означает угрозу и для вас. Не забывайте обучать пользователей правилам выбора надежных паролей. А еще внедрите многофакторную аутентификацию - это защитит вас даже в случае утечки пароля.||
Отсутствие Wi-Fi в вашей организации еще не означает, что вас нельзя взломать через беспроводную сеть. Ваш сотрудник мог подключиться к точке доступа в ближайшем кафе и через него стать источником заражения внутренних ресурсов. Осуществляйте регулярный мониторинг радиоэфира, особенно если у вас распространены не только стационарные компьютеры, но и лэптопы с Wi-Fi-адаптерами.||
Это ИБ-регулятор явно признает только одну стратегию управления рисками - их снижение, а неявно - еще и их избежание и перекладывание (например, через аутсорсинг). У вас же в арсенале есть еще одна стратегия - принятие риска. Но если вы активно “ходите под регулятором”, то вам придется сильно постараться, чтобы убедить надзорный орган, что вы принимаете ту или иную актуальную угрозу и не будете с ней ничего делать.||
Скрывать информацию об инциденте ИБ от внешнего мира вы можете только в том случае, если вы на 100% уверены, что об инциденте никому не станет известно. Но вы не можете быть в этом уверены. Поэтому делайте выводы, а вместе с ними согласуйте с юристами и службой внешних коммуникаций план реагирования на инциденты в части работы со СМИ, клиентами, партнерами и т.п.||
Давая кому-либо доступ к вашим ИТ-активам, заранее подумайте, как и при каких условиях вы этот доступ будете забирать. Ознакомьте все заинтересованные лица с этими условиями. Исключение составляет ФСБ, которая часто по закону имеет право на доступ к вашим ИТ-активам и лишить их этого права вы не в состоянии.||
Скрывая сведения об инциденте ИБ, задумайтесь. Вы это делаете, потому что вам страшно признать свою некомпетентность, вам приказали это скрывать, вы не имеет права по закону раскрывать сведения об инциденте? В первом случае помните, что у вас всегда есть право на ошибку и что одного взломанного за двух невзломанных дают. Во втором случае подумайте, а стоит ли работать под началом такого руководителя и как это соотносится с вашими этическими нормами? Ну а с третьим случае вы ничего поделать не можете - смиритесь… или повторите судьбу Эдварда Сноудена.||
Топ-менеджеры - те же дети, их тоже надо учить “не совать в рот всякую гадость” (кибербезопасности) и делать это максимально понятным для них языком. Одна разница - именно эти “дети” дают деньги на все ваши хотелки. Учитесь говорить с ними на их языке.||
Внутри организации у вас много целевых аудиторий, на которых будут направлены ваши ИБ-активности, - ИТ, топы, рядовые пользователи, юристы, финансисты, HR и т.п. Как бы вы не относились к маркетингу и рекламе, но вам придется научиться у них способам донесения ваших посылок до каждой аудитории с учетом всех ее особенностей, каналов коммуникаций и способов восприятия информации