Полная версия:
Цифровая гигиена. Том I
Поинтересовался король у Рагнера, с чего он начнет, если будет назначен начальником стражи королевского замка. Рагнер подумал и ответил, что главное, по его мнению, заключается в том, чтобы прописать на бумаге, что и как в замке можно делать и чего нельзя, а потом затвердить ее королевской печатью и заставить всех стражников и тех, кто бывает в замке, под этой бумагой расписаться – мол, ознакомлены и обязуются исполнять. Всего и делов-то! И затрат больших из казны не потребуется – все грамотные, а потому пусть читают внимательно. А если кто не так что сделает и опасность какую прозевает, ему и отвечать за последствия – бумагу ведь подписал.
У вас в компании так не бывает? Сегодня между делом вы инструкцию подписали, наспех проглядев, а назавтра уже забыли, о чем в ней говорится. И так до следующего раза, если, конечно, раньше гром не грянет, и вы не окажетесь виновными в том, что в чем-то не соблюли ту инструкцию. Читателю.
Усмехнулся король – получается, что бы в замке ни случилось, Рагнер в этом уж не виноват вроде: бумагу король утвердил, а кто ее подписал и не исполнил – с того и спрос за все. И велел Эрик Справедливый дать Рагнеру Осторожному бумагу подписать, что ближе версты к замку подходить не будет, а если невзначай нарушит условие и попадется, то выпорют его на королевской конюшне – сам виноват!
Не спешите подписывать инструкции, не ознакомившись с ними внимательно. Попросите, чтобы вам обязательно оставили копию, и в сомнительных ситуациях убедитесь, что не нарушаете те или иные положения принятых в компании и подписанных вами документов. Вместе с тем, руководителям служб предприятия, в том числе службы ИБ, вряд ли стоит полагаться только на то, что опасения понести ответственность гарантируют отсутствие ошибок в действиях сотрудников. Убедиться в том, что последние правильно понимают суть подписанных ими документов и помнят их главные положения по прошествии времени, – прямая обязанность ответственных руководителей. Это позволит избежать неприятностей и для сотрудников, и для их руководителей, и для компании в целом. Читателю.
Сказки о безопасности. Эльфы и стеганография
После появления в стране Эрика Справедливого гномов с их телефоном прошло не так много времени. И вот к королю приехала новая делегация – эльфы. Казалось, что ничто не способно удивить ни короля, ни горожан столицы. Но эльфы?! Народ, который отгородился от людей, не принимал у себя делегатов от других королей и никуда не ездил сам.
Однако удивляться было чему еще впереди. После официального визита к королю состоялся еще и малый, тайный прием, на котором эльфы поведали тайну своего народа.
Оказывается, эльфы различали гораздо больше цветовых оттенков, чем люди, а, следовательно, использовали гораздо больше красок. И тайна состояла в том, что посредством различных оттенков они умудрялись зашифровывать в рисованных картинах целые послания. Так, обычный зеленый цвет у них имел более 32 оттенков, впрочем, как и красный и другие цвета. Таким образом, рисуя картины, они могли записывать в них целые послания, не нарушая при этом цветовую гамму.
Так началась дружба и шифрованная переписка с эльфами.
Так родилась стеганография
Помните, что, если кто-то в вашей организации очень любит отсылать наружу картинки, это могут быть и не совсем безобидные картинки. Обратите на это внимание. Может наружу отсылают ваши корпоративные секреты, а вы об этом не подозреваете? А?
Сказки о безопасности: Гномы и ИБ-кадры
После внедрения гномьего телефона и подсказки эльфов об асимметричном шифровании королевство Эрика столкнулось с другой проблемой – где взять специалистов? Организовать срочно курсы? Пригласить гномов и эльфов обучать? Но специалистов требуется много…
Решено было сделать иначе – силами гномов и эльфов подготовить преподавателей, а уж дальше учить самим. Но обнаружилась другая проблема. Если на курсы преподавателей еще смогли найти людей, которые хорошо знали бы математику, то вот дальше…
Так родилась идея специализированных школ, в которых математику изучали бы глубже, чем в обычных. И вместе с университетом появились специализированные школы.
На самом деле вывод довольно прост. Если вы хотите иметь сильное государство и всерьез заниматься безопасностью, вам потребуются кадры, которые нужно готовить заранее. На пустом месте ни криптографы, ни криптоаналитики, ни просто математики не рождаются.
На становление системы подобного образования королевству потребовалось много лет и много средств. Но зато потом уже к ним приезжали учиться из-за рубежа. И платили за это золотом. А специалисты этого университета очень высоко ценились во всем мире.
Следует признать, что подготовка специалистов в области безопасности должна начинаться со школы. И чем умнее и талантливее учителя, чем выше престиж работы Чем лучше учителя, тем лучше будут подготовлены кадры. Мораль проста. Хотите обеспечить безопасность – учитесь! Учитесь и учите, иначе так и будете использовать неизвестные продукты и технологии, в которые ваши конкуренты вполне смогут разместить всевозможные закладки. А вы об этом и знать-то не будете.
Сказки о безопасности: Королевский мусор как источник информации
Королевства Жадины I и Эрика Справедливого всегда находились в состоянии вражды. Шпионили обе стороны. Информацию добывали кто как мог. Но шпионы Эрика Справедливого отличились. Они умудрились принести информацию практически из дворца Жадины I. На естественный вопрос лорда-канцлера, как же это возможно, ведь во дворце у нас нет агентов, руководитель тайной канцелярии, хитро улыбнувшись, заметил, что агенты во дворце стоят дорого, знают мало. А потому он решил внедрить своих агентов в команду мусорщиков, обслуживающих канцелярию Жадины I.
А так как Жадина I вполне оправдывал свое прозвище и экономил на всем, то черновики бумаг записывали на обратной стороне уже использованных документов, а потом не сжигали в специально выделенной печи, как это делали во дворце Эрика Справедливого, а просто собирали для повторной переработки, чтобы сэкономить на производстве бумаги. Вот эти черновики и анализировались специальной командой мусорщиков.
А у вас бумажный мусор собирается в специальных урнах на охраняемой территории? Вы предварительно его измельчаете в специальных аппаратах? А потом уничтожаете в специально отведенных местах в присутствии специальной комиссии? Или вы просто выбрасываете его, чтобы злоумышленникам было легче его анализировать?
Сказки о безопасности: Самое слабое звено королевства
В королевстве Жадины I экономили буквально на всем. Расходы на армию поддерживались на минимальном уровне. Денег едва хватало на еду и жалование. О ремонте крепостей никто даже не заикался. Но проблемой были расплодившиеся разбойничьи шайки. Сколько ни ловили их да не вешали разбойников, голодные крестьяне все чаще и чаще от безутешной доли шли разбойничать.
В крепости Грим, стоявшей у дальней границы, вдалеке от столицы, командовал барон Арн. И все было бы хорошо, да барон подворовывал и те небольшие средства, которые выделялись на крепость. В результате в крепости была грозная стена, башни с толстыми воротами и… огромная дыра в стене с тыльной стороны. Барон считал, что с той стороны подобраться нельзя, так как стояла крепость на скале и, на его взгляд, забраться в нее со стороны дыры было невозможно.
В ту ненастную ночь, казалось, само небо разгневалось на гарнизон крепости. Лил сильный холодный дождь. Небо прорезали огромные молнии. Да к тому же выл сильный ветер. Казалось, что в такую погоду нужно просто сидеть по домам да пить подогретое пиво или горячий грог.
Однако так казалось не всем. В эту ночь большая шайка разбойников решила штурмом взять крепость, куда как раз приехал сборщик налогов этой провинции с небольшим отрядом стражи.
Разбойники поднялись по скале и атаковали крепость как раз со стороны дыры. Крепость пала, а королевский обоз был разграблен.
Помните, что вся ваша безопасность равна безопасности самого слабого звена. В данном случае самое слабое звено в обороне – дыра в стене. И, как видите, сколько не вешай замков на ворота, а дыра в заборе и… крепость пала! Сегодня самое слабое звено – люди. Учите их! Иначе будет поздно!
Сказки о безопасности: Королевские пентестеры
После того как разбойники ограбили крепость и забрали налоги целой области в королевстве Жадины I, король Эрик Справедливый учредил в военном министерстве инспекционный департамент. Данный департамент должен был заниматься инспектированием крепостей и гарнизонов, проверкой боеготовности гарнизонов и уровня знаний командиров.
В состав департамента входило особо секретное подразделение, которое занималось проверкой боеготовности, в том числе путем несанкционированного проникновения на территорию военных городков, лагерей и крепостей. Так появилось первое подразделение пентестеров.
Тестирование на проникновение (жарг. Пентест) – метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Процесс включает в себя активный анализ системы на наличие потенциальных уязвимостей, которые могут спровоцировать некорректную работу целевой системы, либо полный отказ в обслуживании. Анализ ведется с позиции потенциального атакующего и может включать в себя активное использование уязвимостей системы. Результатом работы является отчет, содержащий в себе все найденные уязвимости системы безопасности, а также может содержать рекомендации по их устранению. Цель испытаний на проникновение – оценить его возможность осуществления и спрогнозировать экономические потери в результате успешного осуществления атаки. Испытание на проникновение является частью аудита безопасности.
Королевские пентестеры занялись проверка готовности к возможному проникновению врага. Но после проведения нескольких подобных проверок оказалось, что тестирование проникновением это хорошо, однако это не дает реальной картины безопасности. Как быть? Тогда с целью углубленной проверки в инспекционном департаменте было создано подразделение аудита, которое, в свою очередь, проверяло соответствие выполнения приказов министерства и устранение ранее найденных недостатков. По итогам аудита составлялся отчет. Если обнаруживались ошибки, то выделялось время для их устранения. Если же в срок недостатки не устранялись снова, то соответствующий руководитель уходил с понижением, а в случае особо выраженных недостатков – просто увольнялся без выходного пособия и пенсии.
Да, строго, да страшно, но что важнее? Быть добреньким или отвечать за безопасность и жизнь своих подчиненных? По-моему, ответ очевиден. Не можешь – не работай! То же самое касается и вас, господа безопасники. Не забудьте, что вы должны регулярно проверять безопасность вашей сети. Ведь отвечаете за нее вы, не так ли?
Сказки о безопасности: Свобода как оборотная сторона безопасности и порядка
После катастрофы со строительством крепости иностранными фортификаторами Жадина I задумался. На возведение новой крепости денег нет. Своих специалистов нет. Как быть?
Задал он этот вопрос своим министрам. Думали они целую неделю, как вдруг один из министров сказал, что слышал мол – есть команда, которая позиционирует себя как «Свободная команда специалистов». Причем вся прелесть состоит в том, что чертежи они дают бесплатно, а строить вы будете сами. То есть вы сэкономите на архитекторах и патентных отчислениях. Так дешевле! На естественный вопрос, а зачем это самой команде, министр ответил, что эта команда проповедует свободу творчества и состоит из бунтарей, которые считают, что военные фортификаторы обдирают клиентов.
Вам это ничего не напоминает? Например, попытку внедрения свободного ПО? У нас все дешево, налетай, бери! Только помните, что если вы не платите – вы товар!
Решил Жадина I заключить договор с такой командой. Принесли ему чертежи, посмотрели, вроде как все хорошо. Решили строить. Долго ли, коротко ли продолжалось строительство. Построили. Пришел военный министр и просто онемел. Да только совсем не от восторга.
Батареи на бастионах смотрят не в ту сторону. Ворота в крепости направлены в сторону обрыва… Стены из легкого пористого кирпича… И на всех стенах реклама ближайших стриптиз-баров!
Рявкнул министр, мол, что за ерунду вы натворили?
В ответ – все как на чертеже. Его наши лучшие фортификаторы проверяли, ну а то что ворота не в ту сторону, или бастион не такой – так мы тут ни причем. Сообщество проверяло. А кто конкретно? Все! Кто отвечает? А никто! А реклама? Так жрать нам нужно? Да и дома нас ждут. Бесплатно работать-то нельзя!
Плюнул министр и решил, что уволится к чертовой бабушке, лишь бы на такое художество не смотреть. Ответ, мол, зато бесплатно, его явно не устроил.
Нельзя путать свободное и бесплатное ПО с безопасным. Хотите безопасное – покупайте! Хотите бесплатно, привыкайте что вы товар и не вы, а на вас будут зарабатывать. Привыкайте!
Сказки о безопасности: Невосстановимое стирание
В королевствах Жадины I и Эрика Справедливого для особо важных королевских архивов использовался пергамент. Несмотря на то что бумага давно была в ходу, это была, во-первых, дань традиции, а во-вторых, тексты на пергаменте куда как дольше хранились. Одна беда – пергамент в производстве был дорог. Потому в королевстве Жадины I много раз использованный пергамент, удалив кое-как тексты, просто продавали, чтобы сэкономить деньги.
Аналогично они поступали с бумажными архивами, не уничтожая их, а просто сдавая на макулатуру.
Читателю. Не правда ли, напоминает ситуацию с носителями информации, например, с жесткими дисками. Использованные жесткие диски продают, просто отформатировав их. Или использованные смартфоны просто сбрасывают в заводские настройки. Не так ли?
Шпионы Эрика Справедливого скупали такие пергаменты на рынке пачками, а затем с помощью нехитрых химических реактивов и небольшой магии восстанавливали все что удавалось с них восстановить и получали массу интереснейшей информации. Еще проще это получалось делать с бумажными архивами. Таким образом, разведка Эрика получала более половины всей необходимой информации.
Читателю. Кто-то из вас, несомненно, скажет, мол, фи, копаться в мусоре. Некрасиво. Да. Некрасиво, но эффективно! И это важно! Потому важно использовать правильное уничтожение мусора.
В королевстве Эрика Справедливого был принят другой порядок уничтожения. Особо важные документы, а бумажные – все измельчались на специальных машинах, изобретенных гномами. После них все листы превращались в маленькие квадратики 3х3 мм, а потом бумажные квадратики в запечатанных бумажных же мешках отвозились на бумажные фабрики, где под наблюдением королевских гвардейцев опускались в специальные чаны для изготовления бумаги, а пергаментные остатки – на фабрики, где изготавливались изделия из прессованной кожи. Таким образом, казна получала еще и прибыль от уничтожения мусора.
Читателю. Вам это ничего не напоминает? Пора бы и вам создать свою политику уничтожения информации. Как на бумажных, так и оптических и тем более магнитных носителях!
Сказки о безопасности: Криптография и образование
После того как в королевстве Эрика Справедливого началось широкое использование гномьей и эльфийской криптографии, король заметил, что лица его министра обороны и министра финансов периодически становятся задумчивыми и даже угрюмыми. Поскольку король был очень умным, он решил с ними побеседовать. Вызвал он их обоих как-то и предложил откровенно побеседовать за бокалом хорошего вина.
– Генерал, что вас беспокоит?
– Ваше величество, мы все чаще и чаще используем гномью и эльфийскую криптографию. А что если когда-то они перестанут быть нашими союзниками? Нужно готовить своих криптографов и криптоаналитиков.
– Вот и я о том же думаю, – сказал министр финансов.
Задумался король. Сказал, что они правы, но как быть? Нужно готовить своих специалистов, но как? Откуда их брать? Готовить в университете? Но для этого нужно вначале подготовить преподавателей. Где и как?
Преподаватели информационной безопасности должны быть безусловно свои. Но проблема в том, что готовить преподавателей нужно долго и тщательно. И путь это не близкий.
Решил король отобрать наиболее подготовленных математиков и сделать из них преподавателей. Школьных преподавателей.
Король был умным и понимал, что просто так нельзя принять студентов ниоткуда и если хочешь получить умных специалистов, то нужно начинать со школы.
Нравится вам или нет, но подготовка хорошего преподавателя (инструктора) – процесс длительный, а хороший преподаватель вообще товар штучный. Мало того, что он должен быть умным и подготовленным, он должен уметь и любить преподавать и передавать свои знания. Увы, это часто не получается даже у самых лучших профессионалов.
Прошли годы. Из умных студентов выросли толковые профессионалы. За каждым из них наблюдала специальная служба короля. И через много лет части из них было предложено перейти во вновь организуемую Академию военной службы и безопасности королевства. А для того чтобы они не беспокоились о материальной стороне, король положил каждому из них для начала оклад не менее чем втрое выше получаемого в настоящее время и потребовал, чтобы не менее 20% своего рабочего времени они уделяли своему профессиональному росту.
Преподаватель должен учить и учиться сам. И только тогда он сможет повториться в учениках.
Вы можете спросить – и что было дальше? А дальше уже в этой Академии стали готовить кадры для союзников. Не забывая, впрочем, о том, что копии ключей шифрования нужно держать у себя, ведь сегодня они союзники. А завтра?
Сказки о безопасности: Обучение королевских пентестеров
Однажды на дороге, ведущей в столицу королевства Эрика Справедливого, двое монахов встретили изможденного больного человека, медленно бредущего по дороге. Он был так слаб, что даже не мог говорить. Монахи взяли его с собой, чтобы вылечить в больнице при монастыре. Лечение больного длилось долго и шло очень тяжело. Прошло немало времени прежде чем он выздоровел. Но все же ему удалось выздороветь. Ничего не рассказывал о себе этот человек.
В один из дней он попросился поговорить с настоятелем монастыря. В разговоре он сообщил, что долгое время был атаманом разбойников, грабил крепости и сейфы богатых купцов, пока однажды не заболел и его не бросили умирать на дороге. Он спросил настоятеля, как же ему жить дальше, так как разбойничать и грабить он уже не хочет, а больше ничего делать не умеет. Как жить дальше?
Задумался настоятель и сказал, что ему нужно немного времени, он должен подумать и посоветоваться со своими друзьями. Настоятель не рассказал о том, что до тех пор, пока не стал монахом, он был инструктором в Академии службы безопасности королевства и связи в ней у него остались, ведь бывших безопасников не бывает.
Запомните, что не бывает бывших сотрудников службы безопасности. Они могут быть в отставке, в запасе, но в случае необходимости сразу же перестают быть бывшими!
Прошло немного времени. Как-то вечером настоятель пригласил к себе на беседу бывшего атамана. Вместе с ними в кабинете находился еще один человек, сидевший в темном углу кабинета и молчавший. Настоятель сказал, что это его друг и он хотел бы выслушать бывшего атамана. Долго длился разговор, пока сидевший в темном углу человек не произнес: «Подходит!».
Настоятель улыбнулся и сказал, что бывшему атаману предлагают возглавить новую кафедру в Академии службы безопасности. Это будет кафедра тестирования взломом. Кафедра пентеста. Атаман согласился. Но потребовал, чтобы и он сам, и преподаватели, и слушатели, и все выпускники кафедры пожизненно находились под строгим наблюдением службы безопасности, чтобы всех их дважды в год проверяли и тестировали маги-психологи, чтобы убедиться, что никто из преподавателей и слушателей не сможет применить свои знания во вред королевству, не перейдет на темную сторону. И пусть это означает некоторое лишение свободы и неудобства, но это лучше, чем своими руками воспитывать новых злоумышленников.
Как ни странно, но в вузах, которые учат будущих специалистов по безопасности, отсутствует психологический отбор кандидатов на обучение. Правильно ли это? Наверное, нет, потому что будущий специалист в области информационной безопасности должен быть кристально чист. Мало того, такие же тесты стоит проходить регулярно не только кандидатам, но и сотрудникам. Кто-то из вас может возразить, мол, это не армия. Может вы и правы, да только нет страшнее ничего, чем вор – сотрудник безопасности или правоохранительных органов.
Вот так и появилась в Академии кафедра пентестинга. А вместе с ней – кафедра магов-психологов. Но это уже другая сказка.
Сказки о безопасности: Королевские инновации и обучение
В королевстве Жадины I специалисты учились только тому, что им нужно сегодня, в данный момент. Увы, но учились они исключительно «методом тыка». Это приводило к тому, что соответствующие приборы и методики работ осваивались кусками, не полностью. Соответственно, мастера никогда не могли в полной мере использовать те или иные технологии.
Вам это ничего не напоминает? А зря. Как правило, системные администраторы учатся также и только некоторые из них (совсем немногие) читают документацию. Это приводит к непропорциональному расходу как усилий, так и рабочего времени.
В королевстве Эрика Справедливого обратили внимание на то что творится у Жадины I, впрочем, они всегда внимательно смотрели на то, что и как творится у соседей.
И сделали правильный вывод. Покупаете новые технологии (новые средства производства) – будьте добры учиться. Ни одна новая технология не может быть внедрена без проведения соответствующего обучения сотрудников. В результате и брака стало куда как меньше, и деньги, потраченные на обучение, быстро возвращались, ведь чем лучше научены сотрудники, тем меньше брака допускается в работе, да и работа делается быстрее и с лучшим качеством.
А вам так не кажется? Ведь если перед внедрением нового программного продукта ваши сотрудники будут обучаться, то ошибок будет гораздо меньше, а значит продукт будет внедрен с меньшими затратами и усилиями. Не так ли?
Сказки о безопасности: Королевский приют безумных, или пропаганда ИБ для пользователей
В королевстве Эрика Справедливого все чаще и чаще внедрялись технологии и устройства, разрабатываемые в королевстве гномов. С одной стороны, это было очень здорово, а с другой – пользователи не успевали понять, какие отрицательные стороны имеют эти технологии и как следует защищать себя от этих отрицательных сторон.
Вам это не напоминает современный мир с его бесконечным числом гаджетов, Интернетом вещей и т. д. Гаджетов и технологий все больше. Они все разнообразнее, а пользователи, увы, все те же.
Все чаще и чаще в компаниях, внедряющих те или иные технологии гномов, были вынуждены организовывать специальные «Приюты безумных», в которых специально обученные люди, называемые няньками, разъясняли сотрудникам, как правильно работать с теми или иными технологиями, чтобы не нанести вред как компании, так и себе самому.
Все чаще и чаще сотрудникам подразделений информационной безопасности необходимо выполнять просветительскую роль, разъясняя пользователям, как необходимо работать и чего бояться в нашем изменчивом мире.
Увы, но очень скоро выяснилось, что одних нянек в «Приютах безумных» катастрофически мало. Технологии и устройства гномов распространялись все быстрее и быстрее. Люди покупали их все охотнее, но работать с этими устройствами и технологиями совершенно не умели. Тогда король издал указ и в королевстве начали печатать брошюры из серии «Технологии для чайников».
Однако со временем выяснилось, что хотя эти брошюры раздавались практически бесплатно, люди, увы, их не читали, а даже те, кто и читали, чаще всего не понимали прочитанное.
На рынках все чаще можно было увидеть подобные сцены.
