Minutka deanona,我叫Anatoly Makovetskiy,我是Exness安全团队负责人。
我将立即向希望看到技术文章的人们致歉,这里不会。此外,该材料乍一看描述的事物是如此明显,以至于甚至都不是事实,但您可以合理地问我我的工作方式以及何时不再假装自己是安全的(在图片下方的答案)。
他们开车。
图片:电报频道Information Security Memes(https://t.me/infosecmemes)
我在该行业的前几年受到技术公司的影响,作为一名信息安全专家,我保护...信息(上限),尽管等待理解,按照我们行业的惯例,有时会有很好的系统保护组合,而没有太大的实际区别,它们包含什么信息,这些系统对业务有多重要,现在还有更重要的事情,以及其他约定。
同意,如果没有严格的管理,精心构建的流程,明确的优先事项和其他幸福感,从一个系统跳到另一个系统,在其他人的新鲜研究或个人经验的基础上在表面上发现更美丽的漏洞或更深的漏洞,这真是太酷了。这确实使您能够与其他IT团队进行对话并赢得一定的信誉。我被带到了错误的地方...
是的,没错,真正的信息安全是基于流程,ISO,27k的牙齿,然后动员了IT和高层管理人员的大脑,我们将告诉一切,我们将解释一切,论证和证明,没有人会争论,毕竟,这是必要的,但是引入下一个标准后,我们在该领域的流程会变得更好吗?
实际上,这是要传达的信息是,您需要尝试转向根本概念,对有价值的业务资产进行全面,平衡的保护,而不是“修补”安全性,否则它将看起来像这样:
图片:s.66.ru
您是我对于双方的极端例子,我深表歉意,我理解这不可能到点,但根据我的经验,我被完全按照上面的描述从一个极端带到另一个极端,所以我深切希望这里有一个像样的成年观众,而且在您的背景下,我的经验微不足道,因为我从最烂的论文开始就撰写了最完整的论文,然后通过IT顺利进入了实际领域,所以我从一个极端奔向另一个极端,看到那些坐在这些极端附近的人在我旁边,所以我并不孤单,我会注意到一件事:
, , , , :
- , ( ), , , , , ;
- , - , , , , .
两种方法都有其积极的一面,因为对每种方法的关注不足都会产生各自的风险,但事实是平衡的,否则,出于安全考虑,在真空中接近球形马的地方可以获得安全性。在这里,我们得出一个更明显的证据:
- 信息安全人员淹没于需要保护所有人和所有人的需求,而常常没有设定真正的优先级,并且高兴地有机会
公开嘲笑某人,当某人违反既定或未完成的流程时,骄傲地皱眉以证明自己。 - 实际的安全防护人员通常将重点放在不允许漏洞出现在任何地方,因为这可能危及整个环境,但也存在优先级漏洞,与较敏感但较不脆弱的系统相比,较脆弱的系统具有更高的优先级。
注意: *
, , , .
我们通常会依赖别人的经验,别人的优先级,这些优先级在某处阅读,虽然并不总是错误和不适当的,但对于特定条件而言往往不够理想,而在“快速入门”类别中,有时可以证明其合理性风滚草和风筝盘旋着,显然总比没有好,但与此同时,生意却独立存在。
顺便说一句,业务与安全之间的对话又如何呢?在我的深刻见解中,我们(保安人员)经常尝试向企业出售他不了解的东西,他真正不需要的东西以及对他不适用的东西,或者我们甚至不尝试出售任何东西。也就是说,我们作为安全代表的论点是基于我们自己行业的思想和基础的,这些业务可能离我们很远,因此我们需要以可理解的语言和合理的动机进行激励,那么其效果将更加可预测,长期且业务参与度更高。最终,无论预算多少,我们都应该去预算业务:)
为什么企业根本需要我们?有时出于显示需要安全性,因为它只是必需的。让我们离开这种情况,并讨论由于了解安全性而出现安全性的情况。合适的企业希望
首先,您需要了解公司如何以这种方式赚钱,其运作方式和所追求的目标,然后尽我们最大的努力来保护它。如果一家企业正在繁殖下蛋的鸡,并最终将它们作为食物摆在善良的人们的餐桌上,那么我们就应该保护鸡,它们的鸡蛋,周围的过程以及它们被送到餐桌的方式。如果企业从事大数据业务,那么让我们保护这个非常重要的日期,计算机,原始数据,算法以及与之相关的所有事物。
因此,令我感到非常遗憾的是,实际上,实际上只有一小部分车间同事意识到与业务不一致的方法效率低下,并且随后实施了针对业务优先事项的工作模型。什么使我们能够识别真正的威胁?是的,对它们建模。
让我们走一会儿,想象一下整个威胁建模过程:
- 我们定义公司的有价值的资产,而有价值的是那些资产,根据经验,对资产的侵犯最终会导致损失,如果我们谈论的是商业公司,则最终会直接或间接地归结为财务。通常,在这里,我们会获得该信息或该信息,出于自身利益或出于监管原因,我们必须保护这些信息。我没有机会在金矿工作,也许一开始就没有信息。
- 我们对那些最有价值的资产进行排名,以便进行优先排序。
- , , , , , ( , - , , , , ).
- .
- , , , , , , .
- .
- , **, .
: **
. , , .., , , , , , , , , .
因此,根据经验,我总是可以获得有关受保护资产的信息,这足以建立保护,但是当我来到Exness并开始建立一个考虑本地特性的模型时,我无法拒绝那种缺少某些东西的感觉然后重要的事情一直被错过,直到它浮现在我身上(是的,嘲笑我,写这篇文章的安全冒名顶替者,以及正在发生的事情的显而易见性):
“金融科技有钱。”
任何公司都有钱。任何公司(至少迟早要向员工支付薪水,租用办公室,从事某种经济活动并为会计部门提供工作)都归结为拥有银行帐户,或者除了与网站集成的支付系统外,但是金融科技拥有真正的财富,而外部用户则可以使用它,而且其中很大一部分操作是自动化的。糟糕...
现在,让我们想象一下,除了一堆与业务相关的信息和其他受保护的信息之外,是的,包括每个人都拥有的以及有关金钱的互联网银行的信用和密钥,您至少拥有他们所赚取的客户的真实金钱到您系统中的帐户。就是说,实际上,在系统内部,这与周围的所有信息都是相同的,但是实际上,是金钱被转化为信息,然后又回到系统的边界,但是您不应将它们视为普通信息。
下图显示了我们其中一种产品的流程图:)
图:“ DuckTales”系列沃尔特·迪斯尼电视动画
同样,摆脱了我们仅保护信息的范式,这使我们有可能了解我之前所忽略的另一种有价值的资源,但它存在于每个人中,尽管它是模棱两可的-这种关系可以与客户/流量提供商建立伙伴关系,或者与通讯/安全/基础设施服务提供商合作。当然,在我始终隐含地考虑这一点之前,但是在真空中实施威胁的情况下,从业务连续性计划和灾难恢复计划类别开始,在这里它已将意识转变为值得识别和保护的完全意识资产,从而扩大了我们的覆盖范围,因此在这方面,我们如何不仅从已知威胁,而且从资产本身(从可能暴露于未知威胁的物体)开始转变,但是现在不关乎此事。
如果您仔细观察,可以从各个方面看到钱:
- 至少,所有其他公司都从事着相同的经济活动。
- 有些产品与金融交易及其执行速度有关,其中包含了资金进出的真正逻辑,也就是说,不能将钱转移到远方的保险箱中,只有在经过特殊的“弓”式仪式之后每天进行一次检查并完成“脱衣服”。它们需要在系统中进行驱动,并且通常对于企业而言,速度越快越好。
- 有很多不同的支付系统和其他工具,每种工具都有自己的交互,限制和集成功能。
- 产品在其中运行。
- , ; , ; , ; , - .
- , .
结果,资产,系统,用户,员工,合作伙伴,流程之间存在大量的关节,并且通常,我们在关节处受到主要威胁,而其他关节又产生新的威胁。
所有这些意味着,根本上不仅存在着信息安全人员熟悉的信息或数据,而且还存在其他种类的资产(例如金钱),在如此大的``灾难''规模下,很难仅将其转移到我们所有人都熟悉的信息和数据上。对某种熟悉类型的信息实施威胁并不总是会造成损害,就金钱而言,每笔交易都具有最低的已知和明确的价值,尤其是在我们谈论其相当快速的通过时,这只能从威胁的性质中增加。
也就是说,在使用互联网银行或加密钱包的情况下,您拥有访问它们的信用/秘密/密钥(由“秘密”一词概括)。秘密是信息,但是与之合作仍然存在过程,程序和仪式,而且与之合作的人群相对较小。在这里,信息保护的概念也没有破灭,但是当我们进入直接或间接通过周围所有事物传递支付逻辑的阶段,以及跨不同产品和系统“撒钱”时,情况变得更加棘手:
最后,我们唯一希望的是我们与业务的联系以及对业务的良好理解,这转化为一定的内部专业知识,我们可以并且应该不断地注入这些知识,并立即将其转换为实际的威胁模型,从而反过来我们必须强加我们系统的功能,以防止破裂和随机性,从而防止我们所有工作的无意义。
原谅我这么短的想法有很多话,但是我希望我们在信息安全行业的所有人都再次考虑我们做什么和如何做,如果我们有这样的机会,那么就正确地做所有事情,以便所有阶段彼此协调,如果没有这样的机会-争取机会,如果值得的话,否则我们将永远落后攻击者几步,因为他们通常很清楚自己的目标并跟着他们前进,这与我们不同。
如果本材料没有完全失败,那么我将尝试更详细地揭示和实际面向以下主题的主要方法,“工具”和主观视野:
- 我在威胁建模主题上的“自行车”(如果有需求,因为即使没有地雷也有足够的自行车);
- (不)信任和安全;
- Bug赏金,我们如何做以及我们为之奋斗;
- 在经历了长期的面试官访问后,谈到了讲俄语的信息安全专家市场的特点;
- 什么应该推动安全性。
如果材料进入-添加,如果失败-淹没在注释中。无论是积极的还是积极的,总是对建设性的反馈感到高兴。
所有的善意和平衡的专业态度!